ps aux --sort -pcpu | head -n 15

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root      7279  774  0.0 3182092 7720 ?        Sl   03:34 2028:11 libexec
mysql     1331 11.3  0.9 2963108 633612 ?      Ssl   4月14 243:58 /usr/sbin/mysqld
root      5536 10.0  0.3 988388 213992 ?       Sl   03:27  27:03 apache2
root      6009  1.0  0.0 712580 40936 ?        Sl   07:55   0:00 php-fpm
root      5363  0.9  0.0 713668 54428 ?        Sl   07:52   0:02 php-fpm
root      5014  0.7  0.0  26744  4728 pts/2    S+   07:51   0:02 htop
root      5073  0.3  0.0 712580 29992 ?        Sl   07:51   0:00 php-fpm
root      5205  0.3  0.0 712836 30724 ?        Sl   07:52   0:00 php-fpm
root      5409  0.3  0.0 713668 41808 ?        Sl   07:53   0:00 php-fpm
root      6328  0.3  0.0  92920  6636 ?        Ss   07:56   0:00 sshd: root [priv]
root       555  0.2  0.0 713092 41688 ?        Sl   07:33   0:03 php-fpm
root      3179  0.2  0.0 713348 33316 ?        Sl   07:44   0:01 php-fpm
root      4095  0.2  0.0 713604 43704 ?        Sl   07:47   0:01 php-fpm
root      4655  0.2  0.0 712836 30464 ?        Sl   07:50   0:00 php-fpm

Server 疑似中了木馬，在沒安裝 apache 的情況下一直出現 apache2 這個 process，apache2 出現不久過後就會出現 libexec 這的 process，然後 CPU 就被吃爆

去查他們在 proc 下的 exec

readlink -f /proc/7279/exe
/memfd: (deleted)

readlink -f /proc/5536/exe
/tmp/apache2 (deleted)

用類似 grep -iR "/tmp/apach2" 指令去搜尋 /usr /etc /lib 找不到任何內容，寫個排程每分鐘 killall -9 apache 原本可以抑制，但發現過一段時間 /var/spool/cron/crontabs/ 下的 root 檔案會被刪掉，請問這個情況下該怎麼做才能找出這個 process 怎麼產生的，以及哪邊一直在刪除我的 root crontab，謝謝。