1.發(fā)現(xiàn)異常進(jìn)程，立即禁止凍結(jié)。

 如果禁止后會(huì)自動(dòng)重啟，則需要判斷crontab等來(lái)找到進(jìn)程重啟的原因，如果有cron項(xiàng)目惡意重啟進(jìn)程，先要對(duì)cron進(jìn)行清理。如果，是進(jìn)程有自啟動(dòng)機(jī)制保護(hù)進(jìn)程被殺后重啟的話(huà)，此時(shí)可暫時(shí)凍結(jié)異常進(jìn)程(注意不是停止)。

 發(fā)現(xiàn)一個(gè)惡意進(jìn)程后通過(guò) ls –al /proc/Pid (Pid為具體的進(jìn)程號(hào))，發(fā)現(xiàn)進(jìn)程的啟動(dòng)路徑，啟動(dòng)的文件所在目錄等信息。kill -STOP Pid 可以暫時(shí)凍結(jié)pid的進(jìn)程，這時(shí)此進(jìn)程將不能正常工作，不能占用系統(tǒng)資源，不往外發(fā)包。，被凍結(jié)的進(jìn)程可以通過(guò)ps aux|grep –T來(lái)查到，此后如果需要可通過(guò) skill -CONT Pid恢復(fù)進(jìn)程。

 2.如果發(fā)現(xiàn)異常連接數(shù)，通過(guò)iptables封禁相關(guān)端口或者ip。

查看網(wǎng)站訪問(wèn)日志，分析異常訪問(wèn)，對(duì)異常訪問(wèn)ip進(jìn)行處理，對(duì)異常訪問(wèn)的文件進(jìn)行處理。

 3.清理移動(dòng)木馬，殺掉進(jìn)程。

 首先清理掉木馬創(chuàng)建的cron 計(jì)劃項(xiàng)和主要是/etc/crontab文件，和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計(jì)劃項(xiàng)目；/etc/init.d/下的惡意啟動(dòng)項(xiàng)以及rcN目錄下的啟動(dòng)項(xiàng)。記錄下這些項(xiàng)目的內(nèi)容涉及到的文件，然后全部清理到，注意截圖保留相應(yīng)的證據(jù)(文件時(shí)間簽，文件內(nèi)容等的截圖)。

其次，根據(jù)ls -al /etc/proc/Pid/ 找的惡意木馬文件，以及上一步的計(jì)劃項(xiàng)和啟動(dòng)項(xiàng)目中涉及所有木馬文件。所有進(jìn)程項(xiàng)目的進(jìn)程ID：惡意進(jìn)程的執(zhí)行目錄和文件

最后用一條命令 kill -9 所有的進(jìn)程ID && rm -rf 所有涉及的文件和目錄。然后觀察服務(wù)器安全情況，如果有問(wèn)題立馬重復(fù)以上步驟。

清理所有木馬即可，沒(méi)有必要格盤(pán)重裝系統(tǒng)。而且很多時(shí)候業(yè)務(wù)不允許你有時(shí)間有資源下線(xiàn)重裝。