溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要講解了“如何編寫Linux下CentOS查后門程序的shell腳本”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“如何編寫Linux下CentOS查后門程序的shell腳本”吧!
每個進程都會有一個PID,而每一個PID都會在/proc目錄下有一個相應的目錄,這是linux(當前內核2.6)系統的實現。
一般后門程序,在ps等進程查看工具里找不到,因為這些常用工具甚至系統庫在系統被入侵之后基本上已經被動過手腳(網上流傳著大量的rootkit。假如是內核級的木馬,那么該方法就無效了)。
因為修改系統內核相對復雜(假如內核被修改過,或者是內核級的木馬,就更難發現了),所以在/proc下,基本上還都可以找到木馬的痕跡。
思路:
在/proc中存在的進程ID,在 ps 中查看不到(被隱藏),必有問題。
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
if echo "$str_pids" | grep -qs `basename "$i"`;
then
:
else
echo "Rootkit's PID: $(basename "$i")";
fi
done討論:
檢查系統(Linux)是不是被黑,其復雜程度主要取決于入侵者“掃尾工作”是否做得充足。對于一次做足功課的入侵來說,要想剔除干凈,將是一件分精密、痛苦的事情,通常這種情況,需要用專業的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。
而專業的工具,部署、使用相對比較麻煩,也并非所有的管理員都能熟練使用。
實際上Linux系統本身已經提供了一套“校驗”機制,在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能:
rpm -Va
即可校驗系統上所有的包,輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了,比如被修改過。
感謝各位的閱讀,以上就是“如何編寫Linux下CentOS查后門程序的shell腳本”的內容了,經過本文的學習后,相信大家對如何編寫Linux下CentOS查后門程序的shell腳本這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
