14
linux CentOS檢查見后門程序的shell

一般后門程序,在ps等進程查看工具里找不到,因為這些常用工具甚至系統庫在系統被入侵之后基本上已經被動過手腳(網上流傳著大量的rootkit。假如是內核級的木馬,那么該方法就無效了)。


因為修改系統內核相對復雜(假如內核被修改過,或者是內核級的木馬,就更難發現了),所以在/proc下,基本上還都可以找到木馬的痕跡。


思路:

在/proc中存在的進程ID,在 ps 中查看不到(被隱藏),必有問題。


 


#!/bin/bash


str_pids="`ps -A | awk '{print $1}'`";

for i in /proc/[[:digit:]]*;

do

if echo "$str_pids" | grep -qs `basename "$i"`;

then

:

else

echo "Rootkit's PID: $(basename "$i")";

fi

done

討論:

檢查系統(Linux)是不是被黑,其復雜程度主要取決于入侵者“掃尾工作”是否做得充足。對于一次做足功課的入侵來說,要想剔除干凈,將是一件分精密、痛苦的事情,通常這種情況,需要用專業的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。


而專業的工具,部署、使用相對比較麻煩,也并非所有的管理員都能熟練使用。




實際上Linux系統本身已經提供了一套“校驗”機制,在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能:


rpm -Va


即可校驗系統上所有的包,輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了,比如被修改過。



這條幫助是否解決了您的問題? 已解決 未解決

提交成功!非常感謝您的反饋,我們會繼續努力做到更好! 很抱歉未能解決您的疑問。我們已收到您的反饋意見,同時會及時作出反饋處理!

北京十一选五选号技巧 十一选五中奖规则图 股票涨跌是由什么决定的 股票配资有什么风险呢 安徽福彩快三开奖结果 北京十一选五一定牛走势图手机板 秒秒彩的平台 浙江舟山飞鱼开奖结果 河南11选五5开奖结果 体彩排列三走势图 股票涨跌是由什么决定的