简单的Linux查找后门思路和shell脚本分享
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。
一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。
因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。
思路:
在/proc中存在的进程ID,在 ps 中查看不到(被隐藏),必有问题。
str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
if echo "$str_pids" | grep -qs `basename "$i"`;
then
:
else
echo "Rootkit's PID: $(basename "$i")";
fi
done
讨论:
检查系统(Linux)是不是被黑,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,通常这种情况,需要用专业的第三方的工具(有开源的,比如tripwire,比如aide)来做这件事情。
而专业的工具,部署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。
实际上Linux系统本身已经提供了一套“校验”机制,在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能:
即可校验系统上所有的包,输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了,比如被修改过。
相关文章
find命令用来在指定目录下查找文件,本文给大家整理了关于find命令的相关知识,感兴趣的朋友跟随小编一起看看吧2022-12-12
本文简要介绍了下shell入门的一些用法,具有很好的参考价值。下面跟着小编一起来看下吧2017-04-04
关于"Argument list too long”参数列表过长的四种解决方法
Linux下报错“命令参数列表过长”,在用mv命令一次移动3万多个文件时失败了,原始命令类似这样:”mv $(ls dir1) dir2“,错误提示的中心思想是:”你这参数也太TM多了吧“,本文给大家分享四种解决”Argument list too long”参数列表过长,感兴趣的朋友一起看看吧2023-02-02
这篇文章主要为大家介绍了NetCat工具命令的介绍以及远程文件传输实现,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-03-03
linux shell字符串内置的常用操作(获取长度、查找、替换)
在编写shell程序时,经常会涉及到字符串相关操作。有许多命令语句,如awk,sed都能够做字符串各种操作。 事实上shell内置一系列操作符号,能够达到相似效果,使用内部操作符会省略启动外部程序等时间,因此速度会很的快。如果内置的操作符能够做到的,优先使用内置的2015-12-12
这篇文章主要介绍了Linux常用ls, alias基础命令详解,ls命令 的作用是列举目录文件信息,alias查看定义的别名,具体内容详情大家参考下本文2018-05-05
这篇文章主要介绍了Shell中的数学运算使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2021-03-03
这篇文章主要给大家介绍了关于shell如何通过正则匹配ip地址的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用shell具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2018-11-11
Linux 中 RPM包 安装 查询 卸载命令小结及yum命令详解
RPM 的全称为Redhat Package Manager ,是由Redhat 公司提出的,用于管理Linux 下软件包的软件。Linux 安装时,除了几个核心模块以外,其余几乎所有的模块均通过RPM 完成安装。RPM 有五种操作模式,分别为:安装、卸载、升级、查询和验证2015-11-11
这篇文章主要介绍了Linux 中的通配符详解及实例的相关资料,希望通过本文能掌握Linux 通配符的知识,需要的朋友可以参考下2017-09-09
最新评论