1: 找到這些程序的父程序, ps -ef |grep pid 並 找到所有這些程序的啟動程式路徑。看到可疑的程式全部用 kill -9 殺死程序後,並按路徑刪除你找到的程式檔案2: 檢查chkconfig --list 裡面的服務,看是否有可疑的服務, 程序自啟動是否被 chkconfig --list裡面的某服務帶起來的3:檢查 /etc/rc.local 裡面看是否有可疑內容 4:檢查/etc/sudoers 看是否有不用密碼就可執行root才能執行的命令 5:修改root密碼,如果 此主機是 叢集節點, 修改所有節點root密碼6:從一臺新安裝的主機 將檔案/bin/ps /bin/ls scp 至這個有問題的主機的 /tmp/ 目錄下,執行 ls/ps 時 用/tmp/ls /tmp/ps 來檢視本機的程序和檔案 ,如果直接執行ls 和執行/tmp/ls看到的東西不一樣, 恭喜你,你應該是中了rootkit 。重灌系統吧。7: 檢查你的 網站頁面的程式碼,看是否存在 上傳檔案之類的漏洞
1: 找到這些程序的父程序, ps -ef |grep pid 並 找到所有這些程序的啟動程式路徑。看到可疑的程式全部用 kill -9 殺死程序後,並按路徑刪除你找到的程式檔案2: 檢查chkconfig --list 裡面的服務,看是否有可疑的服務, 程序自啟動是否被 chkconfig --list裡面的某服務帶起來的3:檢查 /etc/rc.local 裡面看是否有可疑內容 4:檢查/etc/sudoers 看是否有不用密碼就可執行root才能執行的命令 5:修改root密碼,如果 此主機是 叢集節點, 修改所有節點root密碼6:從一臺新安裝的主機 將檔案/bin/ps /bin/ls scp 至這個有問題的主機的 /tmp/ 目錄下,執行 ls/ps 時 用/tmp/ls /tmp/ps 來檢視本機的程序和檔案 ,如果直接執行ls 和執行/tmp/ls看到的東西不一樣, 恭喜你,你應該是中了rootkit 。重灌系統吧。7: 檢查你的 網站頁面的程式碼,看是否存在 上傳檔案之類的漏洞