一次linux删除文件后又自动生成就是中木马的情况的解决过程

ewrfdsfwqe

                      公司的内网某台linux服务器流量莫名其妙的剧增,用iftop查看有连接外网的情况。针对这种情况一般重点查看netstat连接的外网ip和端口。
用lsof -p pid可以查看到具体是那些进程，哪些文件。经查勘发现/root下有相关的配置conf.n hhe两个可疑文件，rm -rf后不到一分钟就自动生成了，由此推断是某个母进程产生的这些文件。所以找到母进程就是找到罪魁祸首。
查杀病毒最好断掉外网访问，还好是内网服务器，可以通过内网访问。断了内网，病毒就失去外联的能力，杀掉它就容易的多。怎么找到呢，找了半天也没有看到蛛丝马迹，没办法只有ps axu一个个排查，方法是查看可以的用户和和系统相似而又不是的冒牌货，果然，看到了如下进程可疑。
看不到图片就是/usr/bin/.sshd
于是我杀掉所有.sshd相关的进程，然后直接删掉.sshd这个可执行文件。然后才删掉了文章开头提到的自动复活的文件。
总结一下，遇到这种问题，如果不是太严重，尽量不要重装系统，一般就是先断外网，然后利用iftop,ps,netstat,chattr,lsof,pstree这些工具顺藤摸瓜，一般都能找到元凶。但是如果遇到诸如此类的问题，
/boot/efi/EFI/redhat/grub.efi: Heuristics.Broken.Executable FOUND
个人觉得就要重装系统了。
这篇文章只是解决问题的一种思路，仅仅作为参考，并非绝对。