在一些應急場景中，我們經常會遇到有些木馬會替換常用的系統命令進行偽裝，即使我們清理了木馬，執行ps、netstat等系統命令時又啟動了木馬程序。

這種手法相對比較隱蔽，排查起來也比較困難，本文分享兩種比較簡單的排查技巧。

1、AIDE 入侵檢測

AIDE 是一款入侵檢測工具，主要用途是檢查文件的完整性。通過構建一個基準的資料庫，儲存文件的各種屬性，一旦系統被入侵，可以通過對比基準資料庫而獲取檔案變更記錄。

1.aide安裝配置

#直接安裝aide
yum install aide -y
#生產初始化資料庫
sudo aide --init
#根據配置檔案命名規則生成新的資料庫檔案，需要重新命名，以便AIDE讀取。
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

2、進行檢測對比

sudo aide --check

2、RPM 檢查

通過rpm -Va來檢查已安裝的rpm包的完整性，防止rpm也被替換，可上傳一個安全乾淨穩定版本的rpm二進位制檔案到伺服器上進行檢查。

如果一切均校驗正常將不會產生任何輸出，如果有不一致的地方，就會顯示出來，輸出格式是8位長字串，每個字元都用以表示檔案與RPM資料庫中一種屬性的比較結果 ，如果是. (點) 則表示測試通過。

驗證內容中的8個資訊的具體內容如下：

        S         檔案大小是否改變
        M         檔案的型別或檔案的許可權（rwx）是否被改變
        5         檔案MD5校驗是否改變（可以看成檔案內容是否改變）
        D         裝置中，從程式碼是否改變
        L         檔案路徑是否改變
        U         檔案的屬主（所有者）是否改變
        G         檔案的屬組是否改變
        T         檔案的修改時間是否改變