操作系统:ubuntu
1)输入命令top 查看占用内存的可疑进程及其进程字串符
2)输入命令netstat -anpt 查看tcp连接中的可疑地址 然后放到ipip.net和x.threatbook.cn查看详情
3)输入命令ls -lh /proc/进程字串符 查看进程的木马存放目录及其名称
4)输入命令kill -9 进程字串符 杀掉木马进程
5)进入到木马目录 输入命令md5sum 木马名称 提取md5放到virustotal.com查看木马详情
6)输入命令history |grep wget和cat /var/log/syslog |grep wget 判断远程下载行为
7)输入命令cat /var/spool/cron/crontabs/root 查看被黑客添加的木马任务