主机疑遭入侵和攻击，急需知道从哪里下手排查！

windsfree

redhat  2.4.9-e.12smp 安装weblogic 跑jsp程序，weblogic使用80端口。某天发现访问weblogic程序很慢，最后几乎是停止响应。在weblogic日志里面发现大量的SocketException，以及too many files in system 异常，最后linux 对任何命令没有响应。重启之后改变weblogic的服务端口，weblogic可以提供服务，但是速度明显没有以前快。请问要确认是否被入侵和是否被安装木马该从什么地方入手？急盼！

sunkez

一、看看weblogic的连接池的连接数给的是多少，是不是连接池不够用。
二、tcpdump  抓下包，看看连接的IP是不是变化的很快，是不是有人DDOS攻击！
三、netstat -ant 看看是否有很多的time_out
四、是不是有黑客攻击进来，用history看下历史命令记录，有没有别人操作的命令。