Linux下查找后门程序 CentOS 查后门程序的shell脚本(linux 查找后缀名文件)

编辑：rootadmin

推荐整理分享Linux下查找后门程序 CentOS 查后门程序的shell脚本(linux 查找后缀名文件)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:linux 查找后缀名文件,linux查找后缀,linux查找指定后缀,linux终端查找后缀文件,linux快速查找,linux终端查找后缀文件,linux查找后缀,linux查找后缀,内容如对您有帮助，希望把文章链接给更多的朋友！

每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是linux（当前内核2.6）系统的实现。一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：

Linux下查找后门程序 CentOS 查后门程序的shell脚本(linux 查找后缀名文件)

在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。

讨论：

检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：rpm -Va即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

Shell 函数参数在shell中，调用函数时可以向其传递参数。在函数体内部，通过$n的形式来获取参数的值，例如，$1表示第一个参数，$2表示第二个参数...带参数的函数

linux shell 自定义函数方法(定义、返回值、变量作用域）一、定义shell函数(definefunction)语法：[function]funname[()]{action;[returnint;]}说明：1、可以带functionfun()定义，也可以直接fun()定义,不带任何参数。2、参数返回

Shell实现判断进程是否存在并重新启动脚本分享简洁版：#!/bin/bash#authorcaoxin#time--#program:判断进行是否存在，并重新启动functioncheck(){count=`ps-ef|grep$1|grep-v"grep"|wc-l`#echo$countif[0==$count];thennohuppython/run