处理kworkerds挖矿木马

发现香港服务器被人非法上传了一个文件，服务器特别卡cpu爆满，使用top -c命令查看资源使用情况。发现一个kworkerds进程占用90%以上，kill掉进程也会自动重启。并且发现/var/tmp目录被上传了个kworkerds文件删除掉也会自动重新上传，网上搜索一下，发现是挖矿木马
查找了一些资料，已下是处理方法
crontab -l查看是否被人恶意添加了定时任务。查看/var/spool/cron目录下发现有挖矿定时任务。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务，每个任务以创建者的名字命名。从top结果可以看到kworkerds这个进程是使用www用户启动的，所以查看了/var/spool/cron/www这个文件
解决办法：删除定时任务，kill掉kworkerds进程、删除/var/tmp下的文件
未解决问题：还未找到对方是怎么上传的木马