一, 第一时间
断开网络,防止事情进一步恶化, 如被挂马
立即将关键服务转移到临时服务器上, 因为即使有一个静态页面也比没有好

二,***分析, 找出原因
1.查看系统日志/var/log/messages
2.查看历史操作/root/.bash_history
3.查看最近登录last
4.查看最近修改文件find, 重点/root, /tmp
5.查看/etc/passwd密码文件
6.查看cron任务
7.用netstat查看新开的端口
8.用最新工具查杀***, rootkit程序
9.查看各种服务日志:ssh, http, mail日志

三, 安全加固
1.更新补丁, 或重装最新的系统
2.使用防火墙实施最大化安全策略, 只开要使用的端口,并且仅对要使用的人开放
3.***测试
4.加大安全监控