@nimab 封掉 url 治标不治本，实际挖矿木马有休眠期，不会一直运行。
其它健康的服务器，你可以给 openssh 加固，该打补丁的打补丁，该加策略的加策略。
已经中招的服务器按照我发的方法做一遍，关键点是找到对应的 /proc 里的进程对应的程序。（封掉 url 之后非常难定位问题，建议放行 url，把问题爆露出来，全面分析下）
思路就这么简单，你再尝试深挖 linux 进程会变得更有趣。

现在的挖矿木马太多，主要以下大类：
初版的 linux 挖矿程序通过 计划任务执行 crontab 里
进阶版的 linux 挖矿程序通过
1.隐藏文件运行，或者通过加密的脚本。
2.脚本内容一般是重命名的 cur 或 wge 拉取外网的脚本或程序
3.然后删除本地运行的源程序
最终实现，无本地运行程序方式实现挖矿。
高级进阶版
入侵系统之后，先给系统做全面性能优化
包含；内核参数优化 / 性能优化(杀掉占用资源过高的程序，你自己运行的服务)
没有计划任务跑挖矿程序，没有链接公网需求，一次非守护运行。