在/usr/bin目录中,我注意到昨天zsoelim创建了一个名为的新符号链接soelim。我们检查了类似的服务器,但那里没有这样的符号链接。
我们以前从未见过这样的符号链接;有什么方法可以检查这是否是恶意的?
答案1
它似乎不是恶意的,但我建议立即将服务器离线,然后如果有任何疑问,从您信任的映像重新创建服务器。
在我的 Linux 系统上,有一个名为的符号链接zsoelim指向soelim:
$ ls -l $(which zsoelim) lrwxrwxrwx. 1 root root 6 Feb 27 2018 /usr/bin/zsoelim -> soelim*
请注意,Unix 程序通常像这样进行符号链接,以便同一个可执行文件可以具有两种或更多种不同的行为,具体取决于如何调用它。