一般常见的黑客入侵途径
1、主机远程连接端口暴露在互联网并存在弱口令，被黑客暴力破解后获取主机权限。
2、主机部署数据库后连接端口暴露互联网，数据库账号弱口令，被黑客入侵数据后提权获取主机权限。
3、部署业务存在应用漏洞，被黑客利用植入webshell，控制主机。

一、windows系统排查木马处理流程：
1、procexp.exe 开启virtual在线查杀,发现木马进程。
2、procexp.exe暂停木马进程，接着打包备份木马文件，保留证据。
3、Autoruns.exe 启动项中找到对应木马进程，右键删除。此方法可删除注册表中的值。
4、Autoruns.exe 开启virtual在线查毒，检查是否有可疑进程。
5、TcpView.exe，检查网络连接情况，关注SYN_SENT。

二、linux系统排查木马处理流程：
1、#top –d 1 –c #查看异常进程
#netstat -anp #关注“SYN_SENT”进程
#lsof #查找异常进程
#ll /proc/PID |grep exe #查看进程物理路径
2、#Kill -19 PID (or kill -STOP PID)
#暂停异常进程
#记录PID号，后面进行删除
3、删除对应的木马文件
先tar命令打包备份
#rm -fr /tmp/ssss
特殊文件删除
#chattr -aji file
(可能还要操作目录#chattr -aji /tmp/)
#chmod -aij /tmp
#rm -fr file
4、删除所有木马进程
#Kill -9 PID
5、检查木马进程是否清除干净
检查计划任务，#vi /etc/crontt