linux的rescue mode，进去之后该怎么折腾？

嫖啊嫖

昨天那台可能中了木马的机器，跟那边一来二去，他们把机器启动到了rescue mode让我去检查。本来我的意思是你们把机器启动，然后不让它访问公网，我用vnc去访问，可最后他们直接丢了个我从来没用过的rescue mode过来，这可怎么办，登陆后两眼一抹黑，因为我根本看不到我原来的系统文件，rescue mode好像是一个独立的小系统，挂载的/dev/vdb1才1个G，有个/dev/vda1和2没有挂载，然后我尝试把/dev/vda1挂载到了/mnt/vda1，之前的系统出来了，但是，我该如何去检查现在/mnt/vda1/下面的所有文件哪个是木马之类的文件呢？20cm的大佬们，请帮帮忙

LiuJia

楼主您好，或许您可以试一下将原系统的重要个人文件，通过sftp下载到您家里的电脑，然后告诉主机商说可以重装系统。重装系统相对于排查木马文件容易些。

嫖啊嫖

LiuJia 发表于 2023-6-26 20:58
楼主您好，或许您可以试一下将原系统的重要个人文件，通过sftp下载到您家里的电脑，然后告诉主机商说可以重 ...

我也是这样想的，这样反而方便，但是我现在又很想知道那个黑客是怎么进入我的系统的？我有开防火墙，所有不要用的端口都是关闭的，就这样那货还能进来乱搞，真的很想找出原因

hcyme

我只是坐鸡的，从来没有什么问题，就一个密钥登录

WZ-Software

Linux试试用奇安信扫一下毒看看，或者查一下关键运行目录，再来拷贝一份原生镜像比对一下关键文件的不同

笑花落半世琉璃

救援模式mount挂载啊，有文件了不好看就打包拉到本地慢慢分析

嫖啊嫖

笑花落半世琉璃 发表于 2023-6-26 22:28
救援模式mount挂载啊，有文件了不好看就打包拉到本地慢慢分析

这操作太复杂了，算了，重装