求助网络安全问题

requiem116

实验室有个小计算集群，平常算是我在管理，因为是在单位内网里所以平常安全防护啥的也没有做很多
最近发现被内网里其他中毒的机器攻击后导致几个用户被用来挖矿了，还好普通用户都没有sudo权限没有提权成功
倒腾了一通后倒是把挖矿的东西都删掉了，目前看也没有新的挖矿进程出现了
但是网络中心反应我们的机器还在试图解析僵尸网络地址，特征上反馈是tsunami和minepool，搜了下这两好像都是很老旧的病毒了但是我参考了下各种杀毒教程都没有定位到这个程序在哪
不是专业网管，想着来求助一下有没有啥具体的杀毒思路？小集群只有master节点有网，其他节点都没网，目前是不是只要排查master节点上的可疑进程就行？
挖矿的部分是定位到了/var/tmp还有/dev/shm，/tmp这些路径下，之前是有两个用户下载了相应了的程序并且执行过，目前都清除掉了，其他用户从登录记录看也被登陆过但是看记录没有下载和挖矿行为，要怎么去排查现在这个病毒？既然还在试图解析这个地址就应该是还没杀干净？
解析的地址是irc.ddoser.org，搜了下这个也是老古董了