1)记录文件stat信息,备份文件并删除
2)通过netstat -anltp命令可查看到当前连接信息及建立连接的进程pid,kill掉可疑连接的进程,且已知进程pid可以执行ls -al /proc/pid值 通过exe对应位置找到后门文件路径
3)通过ps aux命令检查是否存在其他可疑进程
4)查看后门内容找到连接的ip或域名(如为二进制文件一般可通过strings命令查看到),如为ip地址通过iptables限制连接,如为域名则更改/etc/hosts文件指向域名至127.0.0.1
5) 检查/etc/rc.local文件及/etc/rcX.d目录下文件判断是否有恶意程序被添加至开机启动(这里的rcX.d代指rc0.d,rcS.d等)
6)检查/etc/crontab文件,/var/spool/cron/crontabs/下文件,/etc/cron.X/下文件判断是否有恶意程序被添加至开机启动
7)大部分人有将后门放到/tmp目录下的习惯,检查/tmp目录下是否存在后门文件
8)结合一中5的方法,通过mtime及特征字符串查找是否存在其他后门文件
9)结合后门的创建用户权限,根据该权限启动服务推断入侵途径,需要注意我们目前几乎没有root启动且对外的服务,如为root权限创建多半为通过其他方式进入并成功提权,常见的高危服务有ssh,redis,ftp,rsync,elasticsearch等,此外如果权限组为root,需要检测是否被种rootkit,rootkit检测可使用rkhunter http://rkhunter.sourceforge.net/
10)修复漏洞
11)如果系统被植入了rootkit,很难清理干净,应马上下线主机,但实际业务中往往不能做到马上下线,应在初步止损完成后迁移部署服务,迁移后下线主机