服务器被攻击了，阿里云提示服务器挖矿怎么办？

用top -c指令看了下没有cpu占用高的，cpu占用都不到1%，然后用ps -A指令看看有没有什么可疑程序，找到这个mass文件不知道干嘛的，百度了一下好像和挖矿有关

传下来后杀毒发现是木马，直接kill删除文件

现在我们自己用阿里云把ip限制了，只保留两个人的IP备份数据，但是现在还是有这种45.208开头的ip，一查是巴西的，很奇怪了啊，然后一个个封，发现它ip换成45.104开头的，这要怎么封啊，大佬求解，有没有办法找到它木马文件啊