一、背景 

    服务器数据库连接不上，初步认为数据库意外关闭，通过远程工具连接服务器，连接超时， 重试连接成功后发现服务器卡顿。通过top进程查看命名，发现异常进程CPU占用超标。

二、现并追踪处理 

    ① top查看异常进程

    ② ll -a /proc/PID 查看异常进程执行文件位置

    ③ kill杀掉异常进程并删除对应执行文件

    杀掉进程之后，远程不卡顿了，以为删掉程序文件，就可以了，没过一会服务器又开始卡顿，肯定还是木马病毒的问题，那么应该有个后台程序，或者定时任务。查看crontab 正常，查看/etc/rc.local系统初始化级别脚本正常，/etc/init.d包含系统各种服务的启动和停止脚本，存在异常文件DbSecuritySpt、selinux。

三、木马手动清除

    ① 简单判断有无木马

登录阅读全文