今天安全设备出现了一条后门检测告警,下面是排查思路
1.分析安全设备告警情况
提示/sbin/mount.fuse文件可能发生篡改,与rpm中备份的安装文件信息不一致
文件静态信息
没有进程相关信息,猜测是误报或者进程退出太快,安全设备没有抓取到
无法从告警中提取有效信息
2.找到对比的备份文件
对比的是RPM备份中的文件信息,查找该软件包的备份位置。
2.1 执行命令rpm -qf /sbin/mount.fuse来找出/sbin/mount.fuse属于哪个软件包
2.2 在得到软件包名称后(例如fuse-2.8.3-5.el6.x86_64),需要查找备份脚本或备份系统设置的文档来确定备份的具体位置。
查看MD5值,可以看到是跟告警中MD5相同的
3.排查服务器登录记录
没有异常登录情况
4.联系服务器负责人,查看是否存在异常
经排查sbin/mount.fuse文件最近修改时间是2018年,其他未发现异常情况
5.使用杀毒软件进行全盘扫描
扫描完成未发现异常