1: 找到这些进程的父进程, ps -ef |grep pid 并 找到所有这些进程的启动程序路径。看到可疑的程序全部用 kill -9 杀死进程后,并按路径删除你找到的程序文件
2: 检查chkconfig --list 里面的服务,看是否有可疑的服务, 进程自启动是否被 chkconfig --list里面的某服务带起来的
3:检查 /etc/rc.local 里面看是否有可疑内容
4:检查/etc/sudoers 看是否有不用密码就可执行root才能执行的命令
5:修改root密码,如果 此主机是 集群节点, 修改所有节点root密码
6:从一台新安装的主机 将文件/bin/ps /bin/ls scp 至这个有问题的主机的 /tmp/ 目录下,执行
ls/ps 时 用/tmp/ls /tmp/ps 来查看本机的进程和文件 ,如果直接执行ls 和执行/tmp/ls看到的东西不一样, 恭喜你,你应该是中了rootkit 。重装系统吧。
7: 检查你的 网站页面的代码,看是否存在 上传文件之类的漏洞