1、查找文件修改（新增的二进制文件）

cd /bin
find . -name ‘*’ -mtime 0 -ls -type f

找到时间在 20201016 07:48前后一个小时的文件

2、查找调用的脚本
cd /etc/
find . -name ‘*’ -mtime 0 -ls -type f
查找这个里面修改的文件

如果是脚本，检查脚本内容是不是被修改了，修改的了会是执行一个文件

找到文件的路径
mv文件到/opt/badfile

注意，汇总所有机器的结构，相互检查文件

病毒的方式就是
修改crontab 定期执行
修改启动脚本或者systemd脚本，让开机或者定期执行

处理完成后重启机器，监控crontab执行的脚本

后期观察