1.查看有哪些用户登录了服务器

命令：who

如果存在可疑用户，使用kill pid杀死对应进程

2.查看是否新增可疑用户

命令：cat /etc/passwd

3.排查木马

命令：netstat -anp   ps -x

查看是否有可疑外联ip或域名，然后根据可疑进程的pid,查看对应进程的执行文件

4.删除找到的木马

命令：find / -name 木马名

          rm -rf 木马路径

根据刚刚找到的木马，找到木马所在的路径，然后删除。

5.查看并删除木马的启动项

命令：grep -r  "木马名" /var

也可以在其它路径下找找，比如/tmp

6.查看计划任务

命令：cat /var/spool/cron/crontabs/*