參考 http://www.cnblogs.com/kevingrace/p/5895116.html
1)結合服務器的系統日志
/var/log/messages
、
/var/log/secure
進行仔細檢查。
2)將可疑文件設為不可執行,用chattr +ai將幾個重要目錄改為不可添加和修改,再將進程殺了,再重啟
3)chkrootkit之類的工具查一
pstree查看父進程找到父進程病毒
刪除不了lsattr查看特殊權限
kill -STOP PID 不殺進程讓進行先暫停工作 進程狀態變成了T
rootkit木馬 (可隱藏進程,文件,不可以找進程和用find)
可以隱藏進程的木馬采用了LKM