Linux服务器被人挖矿或设置后门排查

cpu 检查 查看cpu飙升最高的进程 可以用top检查查看（我这里是内网举例）

然后继续查询链接这个进程的源IP地址是哪里的（我这里是内网举例）

查询IP归属地查看是哪里的IP

ip

设置防火墙把刚刚的IP添加到黑名单里

然后就是kill -9 强杀这个进程pid

如果进程杀掉后，还是会自动恢复，就需要查看定时任务里是否设置什么脚本

定时任务里

anacron ，systemd ，at定时任务 与常用的定时任务 crontab (/var/spool/cron /etc/cron.d/)

排查完后还要检查开机自启的文件里是否配置脚本后门

/etc/rc.local

最后就是再次杀掉这个进程，然后删除掉这个程序文件

或者把病毒文件下载下来，通过在线扫描这个文件进一步分析这个病毒

VirScan - 多引擎文件在线检测平台