位置: 编程技术 - 正文
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。思路:在/proc中存在的进程ID,在 ps 中查看不到(被隐藏),必有问题。
讨论:
检查系统(Linux)是不是被黑,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,通常这种情况,需要用专业的第三方的工具(有开源的,比如tripwire,比如aide)来做这件事情。而专业的工具,部署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。
实际上Linux系统本身已经提供了一套“校验”机制,在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能:即可校验系统上所有的包,输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了,比如被修改过。
推荐整理分享简单的Linux查找后门思路和shell脚本分享(linux查找功能),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:linux查找内容在哪个文件中,linux内容查找,查找 linux,linux查找内容在哪个文件中,linux常用命令查找,linux 命令查找,linux 命令查找,linux快速查找,内容如对您有帮助,希望把文章链接给更多的朋友!
一个简单的防CC攻击Shell脚本分享 实现代码:#!/bin/shcd/var/log/httpd/cataccess_log|awk'{print$1}'|sort|uniq-c|sort-n-r|head-nacp/dev/nullaccess_logcp/dev/nullerror_logcp/dev/nulllimit.shcp/dev/nullc#awk'{print$2}'a|awk-F.'{pri
Shell脚本把文件从GBK转为UTF-8编码 shell脚本:#!/bin/sh####convertfilefromGBtoUTF-8##path="$1"unsetoptif["$2"="force"];thenopt="-c-s"fiif[-z"$path"];thenecho"nUsage:$0fileordirn"elif[!-e"$path"];thenecho"nERROR:destination:$path
Shell脚本解压rpm软件包 有时候需要从RPM包中提取文件,而又没有安装且不想安装rpm相关的库和程序,此时下面这个小小的绿色脚本可以帮你达成愿望。注:1.此脚本来源于Intern
标签: linux查找功能
本文链接地址:https://www.jiuchutong.com/biancheng/374867.html 转载请保留说明!友情链接: 武汉网站建设