参考 http://www.cnblogs.com/kevingrace/p/5895116.html
1)结合服务器的系统日志
/var/log/messages
、
/var/log/secure
进行仔细检查。
2)将可疑文件设为不可执行,用chattr +ai将几个重要目录改为不可添加和修改,再将进程杀了,再重启
3)chkrootkit之类的工具查一
pstree查看父进程找到父进程病毒
删除不了lsattr查看特殊权限
kill -STOP PID 不杀进程让进行先暂停工作 进程状态变成了T
rootkit木马 (可隐藏进程,文件,不可以找进程和用find)
可以隐藏进程的木马采用了LKM