一次linux应急处置小方案

   之前又个客户说自己的linux机器有，活动链接数大，CPU高的特点。    客户初步处置：断网，下线，重启。             我给他们提了个处置步骤，结果就没下文了。。。。。

建议如下：

（0）查看历史命令，最近打开文件。
（1）确认服务器日常应用，应用进程名，文件路径，进程开放端口。
（2）查看活跃进程，进程打开文件，内存字符串信息，特权用户。
（3）查看网络链接，建立链接的网络情况，在监听的网络情况
（4）查看用户登陆情况，近期登陆日志，登陆用户名，登陆IP。
（5）查看开机启动，病毒为了能多次启动驻留系统，常常会有自启动。
（6）计划任务，自启动手法的一种，多见于挖矿类病毒。
（7）关键目录排查，系统tmp目录，var等病毒长驻路径下的可疑文件排查。
（8）开放端口，检查开放端口，看是否有异常端口，常常会用于病毒的通信。
（9）安全日志，系统日志，应用日志等查询，从日志文件中查找异常情况。
（10）全盘文件导出，使用杀毒软件扫描查杀。
（11）使用md5值对比，将文件导出计算hash和正常的系统文件hash对比，检查出有问题的文件。
（12）审核应用，补丁情况，查看是否由漏洞***导致服务器问题，查找其它可能的***痕迹。
（13）审核帐户信息，已有帐户情况，特权帐户。
（14）rootkit的检查，一些恶意代码使用进程等隐藏手段不易检出，使用rootkit检查工具。
（14）获取到异常样本后的样本详细分析。