Linux应急响应之开机启动项篇

Linux应急响应之开机启动项篇
一般来说，病毒在启动之后为了防止肉鸡关机重启，很有可能会设置恶意的开机启动项，那么如何针对Linux的开机启动项做全面排查呢？确切来说应该排查哪些文件呢？

1．/etc/rc.local

/etc/rc.local是/etc/rc.d/rc.local的软连接，该脚本是在系统初始化级别脚本运行之后再执行的，想要/etc/rc.local起作用必须chmod +x /etc/rc.d/rc.local

2. /etc/profile.d/*.sh

/etc/profile.d/*.sh是bash的全局配置文件，/etc/profile.d/下有许多shell脚本，可以在开机时启动。

3./etc/rc.d/rcX.d

rcX.d 目录名，后面的X代表着每个运行级别。
目录内有每个服务在init.d内启动脚本的链接文件，根据链接文件的名字来判断启动状态
K开头表示不启动服务，S打头表示启动服务。

这些服务都是软连接，真正的目录是/etc/init.d下的脚本，可用ls –l查看软链接

4./etc/init.d下的脚本

init.d
目录名，目录内放的是各个服务的启动脚本，比如sshd、httpd等