检查及清理方式

　　检查/var/log 是否被删除# /usr/bin/stat /var/log
　　如果被删除了，说明中招了
　　查看/var/log 文件夹内容# ls -al /var/log
　　如果文件很少，说明中招了
　　监控名称为fsyslog,osysllog 的进程# /usr/bin/watch -n 1 /bin/ps -AFZ f | /bin/grep syslog
　　如果有名称为fsyslog或osyslog的进程，说明中招了，注意不要和正常的系统日志进程混淆
　　检查/etc/init.d/sshd 的文件头是否被篡改过# /usr/bin/head /etc/init.d/sshd
　　检查/etc/init.d/sendmail 的文件头是否被篡改过# /usr/bin/head /etc/init.d/sendmail
　　检查是否有对外链接的82 端口# /bin/netstat -anp | /bin/grep ':82'
　　如果有，而你又没设置过，说明已经中招了
　　检查是否有链接到98.126.55.226 的链接# /bin/netstat -anp | /bin/grep '98.' --color
　　如果有，说明已经中招了
　　检查/etc 文件夹下的隐藏文件.fsyslog .osyslog，检查/lib 文件夹下的隐藏文件.fsyslog .osyslog
　　/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %pn' | /bin/grep 2012 --color
　　/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %pn' | /bin/grep 2012 --color
　　/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %pn' | /bin/grep 2012 --color
　　/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %pn' | /bin/grep 2012 --color
　　如果有近期修改过的名称包含fsyslog或osyslog的文件，说明已经中招了

恢复系统日志

　　查看系统日志文件夹# ls -al /var/log
　　创建系统日志文件夹# /bin/mkdir /var/log
　　如果被删除的话需要创建
　　查看系统日志服务# /usr/bin/find /etc/init.d/ -name '*log*'
　　需要区分出你的服务器所使用的日志服务
　　关闭系统日志服务# /sbin/service syslog stop
　　你的服务器的日志服务的名称可能是另外一个名字
　　启动系统日志服务# /sbin/service syslog start
　　你的服务器的日志服务的名称可能是另外一个名字
　　创建错误登录日志文件# /bin/touch /var/log/btmp
　　设置错误登录日志文件用户组# /bin/chown root:utmp /var/log/btmp
　　设置错误登录日志文件权限# /bin/chmod 600 /var/log/btmp
　　创建登录日志文件# /bin/touch /var/log/wtmp
　　设置登录日志文件用户组# /bin/chown root:utmp /var/log/wtmp
　　设置登录日志文件权限# /bin/chmod 664 /var/log/wtmp

恢复SELinux（安全增强Linux）设置

　　查看SELinux 状态# /usr/sbin/sestatus -v
　　检查/var/log 文件夹的安全上下文# /sbin/restorecon -rn -vv /var/log
　　恢复/var/log 文件夹的安全上下文# /sbin/restorecon -r -vv /var/log
　　检查/etc 文件夹的安全上下文# /sbin/restorecon -rn -vv /etc 2>/dev/null
　　恢复/etc 文件夹的安全上下文# /sbin/restorecon -r -vv /etc 2>/dev/null
　　检查/lib 文件夹的安全上下文# /sbin/restorecon -rn -vv /lib 2>/dev/null