在阿里云主機上，安裝監控插件，根據官方提示，輸入命令

:~$ sudo ARGUS_VERSION=3.4.10 /bin/bash -c "$(datacURL -s https://cms-agent-cn-hangzhou.oss-cn-hangzhou-internal.aliyuncs.com/Argus/agent_install_ecs-1.2.sh)"
installing
networkType is classic
download from http://cloudmonitor-agent.oss-cn-hangzhou-internal.aliyuncs.com/Argus/3.4.10/cloudmonitor_linux64.tar.gz
download failed: {/usr/local/cloudmonitor/cloudmonitor_linux64.tar.gz}

單獨運行wget嘗試

:~$ wget http://cloudmonitor-agent.oss-cn-hangzhou-internal.aliyuncs.com/Argus/3.4.10/cloudmonitor_linux64.tar.gz

發現沒有任何反應

查看wget命令文件

:~$ ls /usr/bin/wget -l
-rwxr-xr-x 1 root root 0 Feb  2 02:55 /usr/bin/wget

發現wget命令是一個空文件。
聯想到這臺服務器曾經種過病毒，雖然病毒清除，但是可能對操作系統造成了一些破壞。

嘗試刪除無效的wget文件

:~$ sudo rm /usr/bin/wget
rm: cannot remove '/usr/bin/wget': Operation not permitted

居然無法刪除。這可能是設置了保護屬性，使用lsattr確認

----ia--------e--- /usr/bin/wget

ia表示被設置過保護，無法修改。需要用chattr去掉保護

:~$ sudo chattr -i /usr/bin/wget
sudo: chattr: command not found

chattr命令文件沒有執行權限，所以加執行

:~$ sudo chmod +x /usr/bin/chattr
chmod: changing permissions of '/usr/bin/chattr': Operation not permitted
:~$ lsattr /usr/bin/chattr
----ia--------e--- /usr/bin/chattr
:~$ ll /usr/bin/chattr
-rw-r--r-- 1 root root 0 Feb  2 03:13 /usr/bin/chattr

居然chattr命令自己也被替換成了空文件，并且還加了保護！導致刪除都無法刪除。
至此，可以判斷此病毒干了很多壞事：

1. 將一些常用的命令替換成了無效的文件
2. 將這些無效的文件設置成了保護權限，因此無法被刪除和替換
3. 將去處保護命令所需要的命令chattr也做了上述兩項操作

經過這一番操作，這臺服務器自己是徹底無法恢復正常了。因此我們需要借助另一臺正常的服務器幫助這臺服務器恢復。

利用scp命令，將另一臺服務器上的chattr, wget命令文件拷貝到一個臨時目錄，例如~/tmp

:~$ sudo scp xxx@xxxxx:/usr/bin/chattr ~/tmp/
:~$ sudo scp xxx@xxxxx:/usr/bin/wget ~/tmp/

利用新的chattr命令，解鎖無效的文件保護

:~$ sudo chmod +x ~/tmp/chattr
:~$ sudo ~/tmp/chattr -ia /usr/bin/chattr
:~$ sudo ~/tmp/chattr -ia /usr/bin/wget

將新的文件拷貝進去

:~$ sudo cp ~/tmp/chattr /usr/bin/chattr
:~$ sudo cp ~/tmp/wget /usr/bin/wget
:~$ sudo chmod +x /usr/bin/chattr
:~$ sudo chmod +x /usr/bin/wget

至此，服務器恢復正常。
如果還有其他命令或文件異常，可以以同樣的方式恢復。