查看登录记录

lastlog

列出目前与过去登入系统的用户相关信息

last | more

查看挖矿进程

# 内存监控
top
# 进程列表
ps -aux

lsof

# 1.仔细检查异常进程pid，并kill:
top/ps aux
kill -9 pid
# 2.查看异常进程命令所在地,并锁定
ls -l /proc/pid/exe
chattr +ai 文件名

如果隐藏了进程

看是否替换了系统命令

rpm -Va

# 1.删除感染的命令，比如，ls，ps,netstat,lsof等命令：
chattr -i -a /bin/ps && rm /bin/ps -f
# 2.查看这些命令的大小和正常程序是否一致：
ls -lh /bin/ps
# 3.找一个相同操作系统的的ps，ls, netstat，lsof命令，将这些命令复制到被感染的系统中，临时使用。

1.vim /etc/crontab
2.crontab -e

检查所有定时任务文件/etc/cron*，如有异常手动处理

查看定时任务日志：

tail /var/log/cron

查看是否存在特权用户

awk -F: '<script type="math/tex" id="MathJax-Element-7">3==0 {print </script>1}' /etc/passwd

查看是否存在空口令帐户

awk -F: 'length(<script type="math/tex" id="MathJax-Element-8">2)==0 {print </script>1}' /etc/shadow

用一些安全策略进行保护系统开放的端口 使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow进行白名单设置 可以对/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等用户信息文件进行锁定