这个是看了曾老师的Linux安全木ma查杀实战视频,感觉思路不错就整理出来的,给大家分享下
1.查看网络连接,找出异常PID
例:netstat -nalp | grep "tcp" |grep "ESTABLISHED"
2.根据上一步查找到异常的PID号查对应的进程号
例:ps -ef | grep “PID号" | grep -v "grep"
3.根据进程号查找对应文件
例:top
4.查找×××文件所在目录
例:find / -name "文件名称"
5.杀进程
例:kill -9 “进程号”
6.删除查找到的×××文件
例: rm ×××文件
7.检查开机启动项文件
8.计划任务列表和目录检查
9./root/.bashrc 和普通用户的.bashrc文件检查
10./etc/profile 文件检查