如果被别人留了后门怎么溯源？前辈们，面试遇到这个问题，你们怎么答？

1. 收集证据： 首先要做的是收集所有可用的证据，例如文件修改日期、网络连接日志等。如果你不确定哪些信息是有用的，可以咨询网络安全专家或律师。
2. 分析日志： 检查系统或网络日志，查找可疑的活动或IP地址，尝试追踪后门的来源。
3. 使用网络安全工具： 使用网络安全工具如杀毒软件、网络监控软件等，扫描系统并查找可疑的程序或进程。
4. 重建系统： 如果你无法确定后门的来源或无法清除后门，最好的方法是重建整个系统。在重新安装系统之前，确保备份了所有重要的数据和文件，并检查备份是否受到感染。

本文参与了SegmentFault 思否面试闯关挑战赛，欢迎正在阅读的你也加入。

通常做法是根据日志监控进行溯源，比如查看是否存在异常操作记录，非法登录、文件操作一类的。如果是大型企业或者涉密行业，通常会有完善的配套安全软件或者安全硬件，对于溯源会非常容易，已经实现了基本自动化，人工只需要简单配置规则或者判断误报漏报即可。
另外可以对系统进行全面的基线安全扫描，检测是否存在漏洞或异常的网络通信（当然也可以通过流量监控抓包，威胁情报进行综合分析研判）。