Linux安全防护

zabbix告警，服务器进程数过高。

于是，ssh到服务器上，top查询资源占用，ps -ef查看进程数。

发现两个诡异进程：/bf，/usr/bin/.sshd。进程数特别高。

初步认定服务器被人入侵。

以下个人应对之策：

1.修改root密码

2.kill掉两个进程，删除相对应的文件。zabbix进程数告警没了。

3.查询/etc/rc.d/init.d/是否有自启动脚本，有个诡异的DbSecuritySpt，度之木马，删掉。

4.查看常见的几个目录是否有异常文件，/根目录、/home、/tmp等等。结合前人经验，删除异常文件。

5.安装clamav，对目录进行查杀。    # linux平台开源的杀毒软件

6.开启防火墙，根据业务，放行相应的端口。