Linux 集群被黑，中了 XMR-STAK 木马。。求问应该怎么办

被黑的是 GPU 集群，只有 master 节点被黑，其他的 slave 完好。 没有安装 redis，初步估计是弱密码撞成功的。。

目前已经做了以下几步

1. pkill 了 XMR-STAK 进程
2. 修改了 sshd_config 一些规则
3. 修改了 hosts.allow, hosts.deny
4. 关闭了 cron 自动任务
5. 对 XMR 的矿池地址在 iptables 配置 drop

Google 了一些解决方案，检查了 root 下的 /.ssh/known_hosts, authorized_keys, 等等没有发现异常，/tmp/下也是正常。

唯独使用 top 时会出来一些 PID 靠后的进程，出现几秒就没了，我觉得应该是守护进程。 同时，在 /usr/bin 下有三个文件也是删了又会浮现，但文件名也是随机 /init.d/下面也是有一个随机文件名不能完全删除，会自动重命名出现。

头疼。。。