一、 查看iptables防火墙配置，是否符合业务需求，iptables -L

二、 查看/etc/ssh/sshd_config 远程登录配置，是否只允许指定的用户以指定的IP地址去访问

三、 查看最近用户登录记录，无异常记录

 last 命令：显示当前与过去登录系统的用户的信息

 lastb 命令：显示所有登录系统失败的用户的信息

 lastlog 命令：显示用户最后一次登录的信息

四、 查看/var/log/messages

 日志有检查到关于pptp服务产生的异常，停止该服务即可。

五、 检查启动的服务

①检测是否有服务器不必要启动的服务，本次在110.80.136.19检测到不必要启动的服务为master，portreserve，pptpd

②和技术振宁确认没有用到后，即可停止postfix, portreserve,pptpd服务,取消开机启动。

六、 查看开机运行的程序，未见异常

七、 chkrootkit检测后门，没有检测到被感染的程序

提示： 该工具需要epel镜像源支持，须先安装epel，  yum  install –y  chkrootkit

①安装好后，执行 /usr/local/chkrootkit，开始扫描

②如果提示 not infected表示未被感染，如果提示  infected 则表示被感染。

参考网址：http://blog.csdn.net/cc_china/article/details/13285415

八、 clamav病毒查杀，分两部分查杀，一部分是代码，一部分是系统，安装yum install 

提示：该工具需要epel镜像源支持，须先安装epel，  yum  install –y  clamav

①代码部分须导入本地，然后用本地一些杀毒软件查杀，最好别在系统上直接查杀，防止查杀到异常，至WEB程序无法使用。

②更新病毒库  /usr/bin/freshclam

③linux系统查杀，指定目录查杀 /usr/bin/clamscan  -r  /etc

④对扫描到的病毒进行删除  /usr/bin/clamdscan –remove 默认最好别带该参数，否则会自动删除。

⑤扫描完后，会在当前目录生成一个 access.log的日志文件，如果查到文件是病毒会显示一个 FOUND字样，检测通过的话，会显示OK

参考网址：http://www.myhack58.com/Article/sort099/sort0102/2013/37585_2.htm

九、 检查数据备份

报告：

本次检查的 110.81.155.233,27.152.28.196 未见异常，通过后门木马扫描，病毒查杀，均未找到可疑文件。

异常记录：  110.80.136.19 开机启动的服务有21项，已经停止了 master，portreserve，pptpd 三项不必要的服务。其他的后续和技术商量后，继续关闭， 另外该服务未备份数据，和技术商量后，把要备份的数据写入 crontab .