#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
if echo "$str_pids" | grep -qs `basename "$i"`;
then
:
else
echo "Rootkit's PID: $(basename "$i")";
fi
done
檢查系統(tǒng)(Linux)是不是被黑,其復雜程度主要取決于入侵者“掃尾工作”是否做得充足。對于一次做足功課的入侵來說,要想剔除干凈,將是一件分精密、痛苦的事情,通常這種情況,需要用專業(yè)的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。
而專業(yè)的工具,部署、使用相對比較麻煩,也并非所有的管理員都能熟練使用。
實際上Linux系統(tǒng)本身已經(jīng)提供了一套“校驗”機制,在檢查系統(tǒng)上的程序沒有被修改。比如rpm包管理系統(tǒng)提供的 -V 功能: