简单的Linux查找后门思路和shell脚本分享
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。
一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。
因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。
思路:
在/proc中存在的进程ID,在 ps 中查看不到(被隐藏),必有问题。
#!/bin/bashstr_pids="`ps -A | awk '{print $1}'`"; for i in /proc/[[:digit:]]*; do if echo "$str_pids" | grep -qs `basename "$i"`; then : else echo "Rootkit's PID: $(basename "$i")"; fi done
讨论:
检查系统(Linux)是不是被黑,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,通常这种情况,需要用专业的第三方的工具(有开源的,比如tripwire,比如aide)来做这件事情。
而专业的工具,部署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。
实际上Linux系统本身已经提供了一套“校验”机制,在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能:
rpm -Va
即可校验系统上所有的包,输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了,比如被修改过。
-
本文向大家介绍linux shell(.sh)脚本编写和运行入门,包括了linux shell(.sh)脚本编写和运行入门的使用技巧和注意事项,需要的朋友参考一下 编写第一个shell脚本 在gedit中编写.sh格式的文件,保存为a.sh。 在终端调用脚本,定位到目录,然后输入: bash a.sh 看到打印结果如上所示。 编写第一个if/else脚本 编写的if/else如下: if和 ; 之
-
本文向大家介绍非常简单的Shell菜单脚本,包括了非常简单的Shell菜单脚本的使用技巧和注意事项,需要的朋友参考一下 本文给大家分享一个自己简单编写的Shell菜单脚本,傻瓜式的人机交互,人人都可以操作linux。 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持呐喊教程。
-
本文向大家介绍一个简单的防CC攻击Shell脚本分享,包括了一个简单的防CC攻击Shell脚本分享的使用技巧和注意事项,需要的朋友参考一下 实现代码: 使用方法,运行命令:sh limit.sh,这样就会把访问量过高的IP加入防火墙,并禁止访问
-
本文向大家介绍Linux Shell脚本查看NUMA信息,包括了Linux Shell脚本查看NUMA信息的使用技巧和注意事项,需要的朋友参考一下 Nova在NFV场景下会提供NUMA相关高级特性,这里提供一个脚本查看计算节点的NUMA相关信息。 查询结果示例:
-
本文向大家介绍简单的远程FTP定时备份Shell脚本分享,包括了简单的远程FTP定时备份Shell脚本分享的使用技巧和注意事项,需要的朋友参考一下 先说问题.公司现在有2台服务器,都是centos系统,一台本地(局域网),一台则在电信机房.因为工作需要,每天备份机房上的数据到本地,以前一直是FTP登录,然后下载到本地机器.现在则希望,利用本地的centos机器,自动备份到本地. 解决方法如下: 1
-
Shell 是指一种应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务。Ken Thompson的sh是第一种Unix Shell,Windows Explorer是一个典型的图形界面Shell。