启动项排查
cat /etc/rc.local 排查rc.local文件中添加的启动项命令 ls /etc/init.d 排查init.d目录下添加的自启动脚本 ls /etc/profile.d 排查profile.d目录下添加的自启动脚本 chkconfig --list centos系统列出自启动项隐藏后门排查,肯定也有相关的工具可借助,如D盾、rkhunter、chkrootkit等。
五、后门处理后门处理,有一个要注意的点是,需要做好备份,不能一股脑的直接删除,因为如果是在系统或应用的文件中插入恶意后门代码,直接删除,可能导致系统瘫痪。建议从备份或者官网下载,进行替换。有些后门文件,即便停掉了相关进程,仍然无法删除,可用chattr命令去除相关标识后再删除。
chattr -ia shell 六、其他日志分析前,要确认日志记录时间使用是格林尼治时间,还是我们常用的东八区时间,否则会给入侵痕迹分析带来很大的误导。一定要保护好日志,根据网络安全法的要求来就行,否则巧妇难为无米之炊。