1、检查进程

（1）输入top，shift+p按照cpu排序，查看下是否有异常的进程占用cpu很高。

（2）ps aux | more 检查所有进程，找出不是很常见的进行下排查，

查看到pid后检查proc位置检查下的pid路径，找到异常进程的程序文件，kill掉进程，然后删除

2、检查启动项

（1）检查/etc/init.d/目录，有无异常服务

（2）vi /etc/rc.local 查看有无异常启动项

（3）centos可使用chkconfig查看3为on的服务

3、检查计划任务

（1）crontab -l查看有没有被加入异常的计划任务，如果有需要根据文件路径做处理删除

（2）检查/var/spool/cron有无用户的计划任务（部分计划任务是以其他用户添加的）

（3）检查/etc/cron.daily/等下面的计划任务，打开查看下，比如vi /etc/cron.daily/logrotate

黑客可以在一些正常的计划任务中添加异常代码，实现异常的启动项

cron.d　　系统级别的定时任务

cron.daily  系统每天要执行的计划任务

cron.hourly 系统每小时要执行的计划任务

cron.monthly 系统每月要执行的计划任务

cron.weekly   系统每周要执行的计划任务

可以将计划任务文件设定为只读

chattr -R +ia /var/spool/cron/

chattr -R +ia /etc/cron.d 

lsattr 命令可以查看文件属性。chattr -ia 消除属性

4、检查用户和组

（1）查看/etc/passwd下的异常用户

（2）查看/etc/group组中有无异常

（3）检查空口令、uid为0的用户、具有登录权限的用户

使用命令 awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户

使用命令 awk -F: '($3==0)' /etc/passwd    查看UID为0的账号，UID为0的用户会自动切换到root用户，所以危害很大正常只有root

使用命令 awk -F: '($2=="")' /etc/shadow   查看空口令账号，如果存在空口令用户的话必须设置密码

5、检查应用的敏感目录

比如/tmp/ MySQL的运行data目录，检查有没有类似windows路径的文件，检查有没有被注入大量恶意信息 ，如果发现有很多异常的程序，需要删除下（这种一般不容易清理干净，可以进行下备份恢复）