crontab中是否存在异常定时任务？

通过netstat -nltp|grep nginx 查询不到监听端口，怀疑是被注入了脚本，这个进程可能就是叫nginx这个名字，网络里没有防火墙杀毒之类的设备。怎么能快速定位到这个。

crontab里没有异常的定时任务

1-Crontab检查是否有异常定时任务，cat /etc/crontab
2-检查/etc/passwd文件，是否有新增用户，异常特权用户，或者空口令用户
3-lsof -p PID，检查该进程打开的文件和路径
4-确认异常进程，kill进程，并删除该进程的配置文件，删除异常木马文件
5-检查服务器本地端口通讯，
1.使用命令ip link |grep PROMISC检查。正常网卡不存在promisc，如果存在则有可能是嗅探。
2.通过netstat -lntp查看所有监听端口。
3.通过netstat -antp查看所有已经建立的连接。特别注意本机主动连接到外部地址的连接，这可能是反弹shell。
4.通过arp -an查看arp记录是否正常。

查看下top等相关命令是否被替换，系统已经不安全了，备份导出，重建数据库吧

非常感谢你提供的思路，lsof 查到这些知道了跟一个公网IP有连接，其他的还不太明白，麻烦再指导一下