1、了解服務(wù)器異常情況。
常見異常情況：異常的流量、異常tcp鏈接（來源端口，往外發(fā)的端口）、異常的訪問日志（大量的ip頻繁的訪問個(gè)別文件）。
如果部署了監(jiān)控系統(tǒng)的話（強(qiáng)烈建議部署zabbix，并增加對(duì)系統(tǒng)添加專門安全items），可以方便通過zabbix監(jiān)控圖和趨勢對(duì)比了解這些信息：
比如系統(tǒng)被黑或者中木馬的話，zabbix上表現(xiàn)常見為：
1）系統(tǒng)負(fù)載不正常增加（14天，按天對(duì)比，事故當(dāng)天安時(shí)對(duì)比），主要是因?yàn)闀?huì)有系統(tǒng)操作，起一些惡意進(jìn)程會(huì)占用CPU，占用IO：比如起進(jìn)程挖礦，會(huì)大量占用CPU；如果中勒索木馬的話，會(huì)對(duì)系統(tǒng)文件加密，會(huì)大量占用占用CPU，占用IO。
2） 系統(tǒng)鏈接數(shù)不正常，對(duì)外流量不尋常的增加：木馬利用當(dāng)前服務(wù)器對(duì)外發(fā)包，進(jìn)行二次掃描或者Ddos攻擊。

異常上行流量監(jiān)控表現(xiàn)
3） 服務(wù)器文件變化，文件被篡改：主要涉及目錄有/tmp,/root/.ssh,/boot/,/bin，/sbin,/etc，/etc/crontab,/etc/init.d/ 等等。
關(guān)于服務(wù)器安全監(jiān)控的有關(guān)內(nèi)容，此處不在在贅述，后續(xù)筆者會(huì)推出專門文章予以闡述，敬請(qǐng)期待。
2、根據(jù)服務(wù)器情況判斷
利用last，lastb發(fā)現(xiàn)異常的用戶登錄情況，ip來源。利用lastlog，/var/log/message，/var/log/secure,日志等，是否權(quán)限已經(jīng)被攻陷。用history 發(fā)現(xiàn)shell執(zhí)行情況信息，用top，ps，pstree等發(fā)現(xiàn)異常進(jìn)程和服務(wù)器負(fù)載等情況，用netstat -natlp發(fā)現(xiàn)異常進(jìn)程情況。用w命令發(fā)現(xiàn)當(dāng)前系統(tǒng)登錄用戶的情況。

  惡意進(jìn)程項(xiàng)目
如以上圖為一臺(tái)，通過對(duì)外暴露的mysql 簡單用戶名密碼被人攻陷，中木馬后，啟動(dòng)惡意進(jìn)程的情況。
3、中標(biāo)服務(wù)器處理：
如果發(fā)現(xiàn)異常用戶，立即修改用戶密碼，pkill -kill -t tty 剔除異常用戶。然后進(jìn)行進(jìn)一步處理。
1）發(fā)現(xiàn)異常進(jìn)程，立即禁止，凍結(jié)禁止。
如果禁止后會(huì)自動(dòng)重啟，則需要判斷crontab等來找到進(jìn)程重啟的原因，如果有cron項(xiàng)目惡意重啟進(jìn)程，先要對(duì)cron進(jìn)行清理。如果，是進(jìn)程有自啟動(dòng)機(jī)制保護(hù)進(jìn)程被殺后重啟的話，此時(shí)可暫時(shí)凍結(jié)異常進(jìn)程（注意不是停止）
發(fā)現(xiàn)一個(gè)惡意進(jìn)程后通過 ls –al /proc/Pid (Pid為具體的進(jìn)程號(hào))，發(fā)現(xiàn)進(jìn)程的啟動(dòng)路徑，啟動(dòng)的文件所在目錄等信息。
kill -STOP Pid 可以暫時(shí)凍結(jié)pid的進(jìn)程，這時(shí)此進(jìn)程將不能正常工作，不能占用系統(tǒng)資源，不往外發(fā)包。，被凍結(jié)的進(jìn)程可以通過ps aux|grep –T來查到，此后如果需要可通過 skill -CONT Pid恢復(fù)進(jìn)程。
2）如果發(fā)現(xiàn)異常連接數(shù)，通過iptables封禁相關(guān)端口或者ip
tcpdump -i eth0 -tnn dst port 80 -c 1000 |perl -F”.” -lane ‘print join “.”,@F[0..3]‘|sort |uniq -c|sort –nr
iptables -I INPUT -s ip -j DROP
iptables -I OUTPUT -p tcp –dport 25 -j DROP
iptables -I INPUT -p tcp –dport 25 -j DROP
3) 查看網(wǎng)站訪問日志，分析異常訪問，對(duì)異常訪問ip進(jìn)行處理，對(duì)異常訪問的文件進(jìn)行處理
具體處理，上一篇文章
WEB安全：單行命令查殺Webshell（php為例）
4）對(duì)清理移動(dòng)木馬，殺掉進(jìn)程。
首先清理掉，木馬創(chuàng)建的cron 計(jì)劃項(xiàng)和主要是/etc/crontab文件，和cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ cron.weekly/等目錄下的惡意計(jì)劃項(xiàng)目; /etc/init.d/下的惡意啟動(dòng)項(xiàng)以及rcN目錄下的啟動(dòng)項(xiàng)。記錄下這些項(xiàng)目的內(nèi)容涉及到的文件，然后全部清理到，注意截圖保留相應(yīng)的證據(jù)（文件時(shí)間簽，文件內(nèi)容等的截圖）。
其次，根據(jù)ls -al /etc/proc/Pid/ 找的惡意木馬文件，以及上一步的計(jì)劃項(xiàng)和啟動(dòng)項(xiàng)目中涉及所有木馬文件。所有進(jìn)程項(xiàng)目的進(jìn)程ID：

惡意進(jìn)程的執(zhí)行目錄和文件
最后用一條命令 kill -9 所有的進(jìn)程ID && rm -rf 所有涉及的文件和目錄。
ok，搞定。然后注意觀察服務(wù)器情況，如果有問題立馬重復(fù)以上步驟請(qǐng)出。利用以上步驟可以完全清理所有木馬，完全沒有必要，已有問題就格盤重裝系統(tǒng)，那是非常不專業(yè)，業(yè)務(wù)選手的做法。而且很多時(shí)候業(yè)務(wù)不允許有時(shí)間，有資源讓你下線重裝的。