linuxCentOS检测见侧门程序的shell
通常侧门程序,在ps等进程查看工具里找不到,由于这种常用工具甚至库在系统被入侵以后基本上早已被动过四肢(网上留传着大量的rootkit。如果是内核级的木马,这么该技巧就无效了)。
由于更改系统内核相对复杂(如果内核被更改过linux 下载工具,或则是内核级的木马,就更难发觉了)linux后门程序,所以在/proc下,基本上还都可以找到木马的痕迹。
思路:
在/proc中存在的进程IDlinux后门程序,在ps中查看不到(被隐藏),必有问题。
#!/bin/bash
str_pids="`ps-A|awk'{print$1}'`";
foriin/proc/[[:digit:]]*;
do
ifecho"$str_pids"|grep-qs`basename"$i"`;
then
:
else
echo"Rootkit'sPID:$(basename"$i")";
fi
done
讨论:
检测系统(Linux)是不是被黑linux数据恢复,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,一般这些情况,须要用专业的第三方的工具(有开源的,例如tripwire,例如aide)来做这件事情。
而专业的工具,布署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。
实际上Linux系统本身早已提供了一套“校验”机制,在检测系统上的程序没有被更改。例如rpm包管理系统提供的-V功能:
rpm-Va
即可校准系统上所有的包,输出与安装时被更改过的文件及相关信息。并且rpm系统也可能被破坏了,例如被更改过。
本文原创地址://q13zd.cn/lhmcxjcxtlsb.html编辑:刘遄,审核员:暂无