1.查看有哪些用户登录了服务器
命令:who
如果存在可疑用户,使用kill pid杀死对应进程
2.查看是否新增可疑用户
命令:cat /etc/passwd
3.排查木马
命令:netstat -anp ps -x
查看是否有可疑外联ip或域名,然后根据可疑进程的pid,查看对应进程的执行文件
4.删除找到的木马
命令:find / -name 木马名
rm -rf 木马路径
根据刚刚找到的木马,找到木马所在的路径,然后删除。
5.查看并删除木马的启动项
命令:grep -r "木马名" /var
也可以在其它路径下找找,比如/tmp
6.查看计划任务
命令:cat /var/spool/cron/crontabs/*
)
