渗透痕迹分析随笔(3)

启动项排查

隐藏后门排查，肯定也有相关的工具可借助，如D盾、rkhunter、chkrootkit等。

后门处理，有一个要注意的点是，需要做好备份，不能一股脑的直接删除，因为如果是在系统或应用的文件中插入恶意后门代码，直接删除，可能导致系统瘫痪。建议从备份或者官网下载，进行替换。有些后门文件，即便停掉了相关进程，仍然无法删除，可用chattr命令去除相关标识后再删除。

日志分析前，要确认日志记录时间使用是格林尼治时间，还是我们常用的东八区时间，否则会给入侵痕迹分析带来很大的误导。一定要保护好日志，根据网络安全法的要求来就行，否则巧妇难为无米之炊。