1、了解服务器异常情况。

常见异常情况：异常的流量、异常tcp链接（来源端口，往外发的端口）、异常的访问日志（大量的ip频繁的访问个别文件）

2、根据服务器情况判断（lastlog secure日志等扥），是否权限已经被攻陷。如果发现异常用户，立即修改用户密码，pkill -kill -t  tty 剔除异常用户。然后进行进一步处理。

3、处理：

1）发现异常进程，立即禁止。

如果禁止后会自动重启，则需要判断crontab等来找到进程重启的原因，然后进行出来。此时可暂时冻结异常进程（注意不是停止）

skill -STOP PID  可以暂时冻结pid的进程，这时此进程将不能正常工作，不能占用系统资源。此后如果需要可通过 skill -CONT PID  恢复进程。

2）如果发现异常连接数，通过iptables封禁相关端口或者ip

     tcpdump -i eth0 -tnn dst port 80 -c 1000 |perl -F"\." -lane 'print join ".",@F[0..3]'|sort |uniq -c|sort -nr
         iptables -I INPUT -s ip -j DROP
         iptables -I OUTPUT -p tcp --dport 25 -j DROP
         iptables -I INPUT    -p tcp  --dport 25 -j DROP

3) 查看网站访问日志，分析异常访问，对异常访问ip进行处理，对异常访问的文件进行处理

具体处理，建本blog，上一篇文章.