Linux命令被劫持了怎么处理？

在网络安全应急响应中，会遇到有些木马，而这些木马有时候并不能被kill，通常的思路是去找到它的守护进程kill，然后再kill掉木马。但是即使清理了木马，执行一些Linux命令的时候又启动了木马，这时候我们又有思路了，去查看开机启动项，但是开机启动项也是正常，那么是哪里出了问题呢？

这种手法比较隐蔽，排查起来也比较苦难，这里分享两种排查技巧：

1.AIDE入情监测

AIDE是一款入侵监测工具，主要用途是检查文档的完整性。通过构建一个基准的数据库，保存文档的各种属性，一旦系统被入侵，可以通过对比基准数据库而获取文件变更记录。

（1）AIDE安装配置

直接安装AIDE

yum install aide -y
# 生产初始化数据库
sudo aide --init
# 根据配置文件名规则生成新的数据库，需要重命名，以便于AIDE获取
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

(2)进行检测对比

sudo aide --check

2.RPM检查

通过rpm -Va来检查已安装的rpm包的完整性，防止rpm也被替换，可以上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果，如果是.(点)则表示测试通过。

验证内容中的8个信息的具体内容如下：

S:文件大小是否改变
M:文件的类型或文件的权限（rwx）是否改变
5:文件MD5校验码是否改变（可以看成文件内容是否改变）
D:设备中，从代码是否改变
L:文件的路径是否发生改变
U:文件的属主（所有者）是否改变
G:文件的属组是否改变
T:文件的修改时间是否改变