安全组内所有服务器感染挖矿病毒

1.三台服务器运行CNETOS7,位于同一安全组

2.其中一台上面只安装了DOCKER容器。

3.DOCKER容器运行NGINX，映射端口为80，443.网络为 HOST，未隔离。

4.此三台病毒昨天收到安全警报，提供有挖矿病毒/home/trace

5.杀进程，删除.停掉定时任务.过段时间，此病毒又会出现在同一位置，并且把CPU占用到200-400%(运行top命令可看到)

####三台服务器，一台直接运行的apache+php,此机器上病毒的所有者也是apache.另一台运行的也是apache,但没有PHP,另外还有一个NGINX+PHP容器运行在8000口，未开放外网，此机器上病毒的所有者为1000

第三台机器仅运行DOCKER容器，NGINX+PHP,此机器上病毒所有者为了1000。

我的问题是：就算我安全没做好，那么病毒是怎么从DOCKER中进入宿主机的呢？

而且这病毒，一启动启动时长就自动为数百个小时，而我查看云服务器监控，肯定是昨天才出现的。 我停掉了CROND服务，这病毒还是会出现，目前无法根除。

另外同安全组下还有两台WINDOWS服务器，虽然也提示风险，并没有被感染。

望哪位朋友遇到此种情况，指点一个解决方案或提供解决思路，不胜感激。