阿里云ECS服务器提示肉鸡行为的解决记录

昨天半夜收到阿里云告警，说是有一台nginx服务器出现肉鸡行为，这怎么能忍？于是起床赶紧处理。附上解决记录，遇到同样问题的哥们可以拿来作为参考。
1、先按照阿里云邮件提示操作完毕，然后通过netstat查看网络情况，还是发现一个叫jenki的可疑进程。
2、根据jenki这个名字令人马上联想到是不是存在jenkins进程，发现机器确实安装并启动了jenkins（该服务器的centos操作系统是使用了一个安装过2.32版本的jenkins镜像文件安装的）。经过度娘发现该版本的jenkins确实存在漏洞。
3、卸载jenkins后重启发现仍然存在jenki进程，另外jenki进程关联的是/tmp/jenki文件，因此尝试kill该进程并且rm该文件，但可惜过一会仍然出现jenki进程和该文件。
4、ps aux|less查看进程列表并与未感染机器对比，发现/usr/bin/.shhd进程有很大嫌疑，且与阿里云邮件中提示要删除的其中一个进程一致。因此kill该进程并清除文件（注：可通过lsof -i:端口号查看进程pid，可通过ll /proc/pid号查看具体的进程内容目录，可通过lsof -p pid号查看进程打开的文件，参考网址：http://blog.csdn.net/keep_moving_gogogo/article/details/52083673）。可是过一会又会出现了/usr/bin/.shhd进程。
5、联想到jenki进程也有类似效果，猜测是两个进程可以相互恢复，因此使用kill pid1 | kill pid2的方式同时删除进程并rm对应文件，问题解决，即使重启机器这些进程也不再出现。