# lab21  Khi đăng nhập có ERROR của ld.so thông báo không thể load file /lib64/libxselinux.so  Kiểm tra thư mục /etc, khi ls không hiện file `ld.so.preload`. Tuy nhiên thực chất file này vẫn tồn tại trong hệ thống nếu được mở. File `ld.so.preload` có nội dung như sau  Kiểm tra file `/lib64/libxselinux.so`  File có time khá mới so với các file khác trong hệ thống, kiểm tra file với virustotal  đây là một file độc hại. Có chức năng kết hợp với ld.so.preload để hook một số function. Tiến hành gỡ bỏ file này bằng cách, xóa file và xóa đường dẫn file trong `ld.so.preload` # lab 22  Khi rà soát tiến trình, phát hiện tiến trình độc hại `netcat`. Xử lý bằng các kill tiến trình ``` sudo pkill -TERM -P 3173 ``` # lab 23 Khi vừa khởi động và đăng nhập vào user hunter, xuất hiện thông báo:  Khi rà soát các thành phần khởi động cùng hệ thống, các thành phần tự khởi chạy:  Phát hiện 1 đoạn code gọi curl đến trang độc hại để lấy source sau đó truyền qua pipe vào sh để thực thi. Tuy nhiên hiện tại trang web không thể truy cập nên không phân tích được hành vi. # lab 24 Khi vừa truy cập vào lab, có thông báo user hunter có mail. Đọc mail thì đây là mail được tạo bởi cron daemon.  Tiến hành rà soát các thành phần khởi động cùng hệ thống, tự khởi động(crontab, script,..)  Phát hiện một backdoor được lập lịch để connect liên tục. Gỡ bỏ, xóa crontab này.