安全类问题>linuxCentOS检测见侧门程序的

linuxCentOS检测见侧门程序的shell

通常侧门程序,在ps等进程查看工具里找不到,由于这种常用工具甚至库在系统被入侵以后基本上早已被动过四肢(网上留传着大量的rootkit。如果是内核级的木马,这么该技巧就无效了)。

由于更改系统内核相对复杂(如果内核被更改过linux 下载工具,或则是内核级的木马,就更难发觉了)linux后门程序,所以在/proc下,基本上还都可以找到木马的痕迹。

思路:

在/proc中存在的进程IDlinux后门程序,在ps中查看不到(被隐藏),必有问题。

#!/bin/bash

str_pids="`ps-A|awk'{print$1}'`";

foriin/proc/[[:digit:]]*;

do

ifecho"$str_pids"|grep-qs`basename"$i"`;

then

:

else

linux 后门_linux后门程序_程序后门

echo"Rootkit'sPID:$(basename"$i")";

fi

done

linux 后门_linux后门程序_程序后门

讨论:

检测系统(Linux)是不是被黑linux数据恢复,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,一般这些情况,须要用专业的第三方的工具(有开源的,例如tripwire,例如aide)来做这件事情。

而专业的工具,布署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。

实际上Linux系统本身早已提供了一套“校验”机制,在检测系统上的程序没有被更改。例如rpm包管理系统提供的-V功能:

rpm-Va

即可校准系统上所有的包,输出与安装时被更改过的文件及相关信息。并且rpm系统也可能被破坏了,例如被更改过。

本文原创地址://gulass.cn/lhmcxjcxtlsb.html编辑:刘遄,审核员:暂无