簡單的Linux尋找後門思路和shell指令碼分享_linux shell

來源:互聯網
上載者:User

每個進程都會有一個PID,而每一個PID都會在/proc目錄下有一個相應的目錄,這是linux(當前核心2.6)系統的實現。

一般後門程式,在ps等進程查看工具裡找不到,因為這些常用工具甚至系統庫在系統被入侵之後基本上已經被動過手腳(網上流傳著大量的rootkit。假如是核心級的木馬,那麼該方法就無效了)。
因為修改系統核心相對複雜(假如核心被修改過,或者是核心級的木馬,就更難發現了),所以在/proc下,基本上還都可以找到木馬的痕迹。

思路:

在/proc中存在的進程ID,在 ps 中查看不到(被隱藏),必有問題。

複製代碼 代碼如下:
#!/bin/bash

str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
 if echo "$str_pids" | grep -qs `basename "$i"`;
 then
  :
 else
  echo "Rootkit's PID: $(basename "$i")";
 fi
done

討論:

檢查系統(Linux)是不是被黑,其複雜程度主要取決於入侵者“掃尾工作”是否做得充足。對於一次做足功課的入侵來說,要想剔除乾淨,將是一件分精密、痛苦的事情,通常這種情況,需要用專業的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。
而專業的工具,部署、使用相對比較麻煩,也並非所有的管理員都能熟練使用。

實際上Linux系統本身已經提供了一套“校正”機制,在檢查系統上的程式沒有被修改。比如rpm包管理系統提供的 -V 功能:

複製代碼 代碼如下:
rpm -Va

即可校正系統上所有的包,輸出與安裝時被修改過的檔案及相關資訊。但是rpm系統也可能被破壞了,比如被修改過。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.