1、事件原因

当天发现服务器访问速度异常缓慢，通过top命令查看系统资源使用情况，发现名为systemd-mont（可能是一个误写或自定义的进程名）的两个异常线程占用了大量的CPU资源，几乎导致CPU满载。

2、查找问题

 为了确定这两个异常线程的来源，使用ps -ef | grep "systemd-mont"命令查找该线程所属的程序。找到后，尝试使用kill命令结束这些线程，并删除相关的执行文件。

3、问题重现 

在删除执行文件后不久，发现systemd-mon线程再次出现，并且之前的systemd-mont文件也恢复了。这表明有某种机制在自动恢复这个文件。

查找自启动服务

因为kill -9杀掉进程之后会立即重启，使用systemctl list-units --type=service 找到自启动服务，禁用后删除。考虑到可能是定时器在执行这个异常程序，使用crontab -l命令查看用户的定时任务列表，果然发现了异常的定时任务。进一步调查后发现，这个定时任务是由一个位于国外服务器的IP地址设置的。

4、解决问题

此时虽然还不能确定这个异常程序是否为挖矿程序，但出于安全考虑，决定先删除这个定时任务。然而，在尝试使用crontab -e编辑定时任务列表时，发现由于文件或目录的扩展权限设置，不允许进行编辑操作。

通过lsattr命令查看/var/spool/cron/root（这里假设是存放root用户cron任务的目录，但通常cron任务存放在/var/spool/cron/crontabs/下）的扩展权限，发现它被设置了a（append only，只允许添加数据）和i（immutable，不允许修改、删除）属性。为了删除这个异常定时任务，首先使用chattr -ai /var/spool/cron/root命令去除这些权限限制，然后编辑并删除异常定时任务。为了服务器的安全，在删除完成后，再次使用chattr +ai /var/spool/cron/root命令为文件或目录加上了权限限制。最后使用last查看最近登陆的异常用户，并对异常用户进行删除。

5、异常程序解析

为了进一步了解这个异常程序的目的，对相关的配置文件（如config.json）进行了解析。通过分析配置文件的内容，发现这些配置是用于设置某个加密货币矿机的参数，这证实了之前的猜测：这个异常程序确实是一个挖矿程序。由于没有找到mon.sh病毒文件猜测是病毒启动后会删除原病毒文件，如果能找到删除掉就好。