主頁 > 知識庫 > 簡單的Linux查找后門思路和shell腳本分享

簡單的Linux查找后門思路和shell腳本分享

熱門標簽:河南信譽好的不封卡電話外呼系統(tǒng) 打電話機器人接我是他的秘書 江蘇云電銷機器人公司 客服外呼系統(tǒng)怎么樣 百度地圖標注錯了有責任嗎 華鋒e路航港口地圖標注 地圖標注員都是年輕人 如果做線上地圖標注 揭陽智能電話機器人推薦

每個進程都會有一個PID,而每一個PID都會在/proc目錄下有一個相應的目錄,這是linux(當前內(nèi)核2.6)系統(tǒng)的實現(xiàn)。

一般后門程序,在ps等進程查看工具里找不到,因為這些常用工具甚至系統(tǒng)庫在系統(tǒng)被入侵之后基本上已經(jīng)被動過手腳(網(wǎng)上流傳著大量的rootkit。假如是內(nèi)核級的木馬,那么該方法就無效了)。
因為修改系統(tǒng)內(nèi)核相對復雜(假如內(nèi)核被修改過,或者是內(nèi)核級的木馬,就更難發(fā)現(xiàn)了),所以在/proc下,基本上還都可以找到木馬的痕跡。

思路:

在/proc中存在的進程ID,在 ps 中查看不到(被隱藏),必有問題。

復制代碼 代碼如下:
#!/bin/bash

str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
 if echo "$str_pids" | grep -qs `basename "$i"`;
 then
  :
 else
  echo "Rootkit's PID: $(basename "$i")";
 fi
done

討論:

檢查系統(tǒng)(Linux)是不是被黑,其復雜程度主要取決于入侵者“掃尾工作”是否做得充足。對于一次做足功課的入侵來說,要想剔除干凈,將是一件分精密、痛苦的事情,通常這種情況,需要用專業(yè)的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。
而專業(yè)的工具,部署、使用相對比較麻煩,也并非所有的管理員都能熟練使用。

實際上Linux系統(tǒng)本身已經(jīng)提供了一套“校驗”機制,在檢查系統(tǒng)上的程序沒有被修改。比如rpm包管理系統(tǒng)提供的 -V 功能:

復制代碼 代碼如下:
rpm -Va

即可校驗系統(tǒng)上所有的包,輸出與安裝時被修改過的文件及相關信息。但是rpm系統(tǒng)也可能被破壞了,比如被修改過。

您可能感興趣的文章:
  • linux find下如何統(tǒng)計一個目錄下的文件個數(shù)以及代碼總行數(shù)的命令
  • linux的一個find命令配合rm刪除某天前的文件方法
  • linux使用find和crontab命令定期清理過期文件
  • 淺談Linux下通過find命令進行rm文件刪除的小技巧
  • Linux中文件查找方法大全
  • linux c 查找使用庫的cflags與libs的方法詳解
  • Linux查找包含指定文字的文件(linux查找指定文件)
  • Linux下如何使用grep命令查找?guī)в衪ab(退格)的字符
  • Linux中文件查找技術大全
  • Linux中find命令的用法入門

標簽:巴彥淖爾 赤峰 許昌 馬鞍山 淘寶邀評 金昌 邵陽 婁底

巨人網(wǎng)絡通訊聲明:本文標題《簡單的Linux查找后門思路和shell腳本分享》,本文關鍵詞  簡單,的,Linux,查找,后門,;如發(fā)現(xiàn)本文內(nèi)容存在版權問題,煩請?zhí)峁┫嚓P信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《簡單的Linux查找后門思路和shell腳本分享》相關的同類信息!
  • 本頁收集關于簡單的Linux查找后門思路和shell腳本分享的相關信息資訊供網(wǎng)民參考!
  • 推薦文章