为了扩展@tlng05 的观点，rootkit 作者是专业人士，通常拥有数十年的经验。除非你有几十年的对抗 rootkit 的经验，否则他们会比你知道更多的藏身之处：P

如果您怀疑存在 Rootkit，那么您唯一的选择就是擦除系统。这是肯·汤普森（ Ken Thompson）对信任信任的反思“你必须信任人民，因为你永远找不到漏洞”的经典例子。

下次，我建议对您授予 root 访问权限的人更加严格。

这在很大程度上取决于攻击的复杂性。如果它是一个简单的后门，您有机会通过以下方法找到/消除后门：

1.

netstat -antp

搜索发送端口/程序并记住 pid + ip。

2.

lsof -p <the pid>

查找出现的模具。（这些是发送过程使用的文件）

3.

• 尝试删除这些文件
• 通过阻止IP。iptables（教程）
• 更改所有用户的密码
• 祈祷

请注意，这不是删除后门的保证方法。就像已经提到的tlng05一样，最安全的方法是备份您的重要文件并擦除整个系统。（我也强烈建议这样做）

您可以将内存转储到正在运行的服务器上，并使用易失性进行分析。如果此服务器尚未重新启动，那么您可能会发现一些有趣的东西，例如命令历史记录、奇怪的进程、网络连接……使用现有模块。我无法详述，因为这是一个很长的故事和培训技能来做到这一点。

实际上，取证团队中的人员使用类似的工具来调查事件，尤其是 IR 团队。