1. 偷換系統二進位制檔案( ps , top 等)
防範: 比對hash;系統完整性檢查工具,比如tripwrie、aide等
2. 修改hook呼叫函式 (修改命令返回結果,原函式getdents)
防範: sysdig(開源),檢測ld_preload環境變數是否有異常,ld.so.preload檔案異常(時間,大小)
3. 修改程序名字
防範: /proc目錄,檢視exe的指向(ls -al ***x) 略麻煩啊 ...
4. 統稱 rootkit 吧 ......
防範: 檢視lsmod是否有新核心模組加入等,不太會 :( ......
痕跡清理
1. 退出前 history -c
2. 多使用sftp吧 0.0
3. web日誌刪除一些
4. 使用者目錄下很多 history,一言不合就是刪 :)
4. btmp wtmp 這些應該刪,但是我用不著刪 :)
Linux程序隱藏問題 顯示隱藏程序
阿里云云監控到有兩台redis伺服器cpu被某程序消耗400 cpu資源 系統檢視top 情況並未找到高消耗程序x7但cpu100 ni netstat 查詢到了一些異常請求,初步判斷出元件被提權入侵了 嘗試查詢異常程序x7關聯的檔案,排查還在 etc hosts發現增加了如下異常對映,檢視相關異常...
linux 隱藏程序 crux實現
本文在不修改ps或top命令的任何 與採用將程序號置0的方法的前提下,實現隱藏程序,本程式在crux 2.2上實現 1 原理 linux中,可以通過 proc檔案系統訪問到許多核心的內部資訊。proc檔案系統最初的設計也是用於方便地訪問程序相關的資訊,因此命名為proc。現在這個檔案系統已用於反映系...
Linux幾種檢測rootkit隱藏程序的方法
rootkit通常會隱藏程序,隱藏檔案和網路連線。這裡主要記錄幾種對隱藏程序的檢測方法 一.隱藏程序的方法 1.1 使用者級rootkit 通過ld preload來hook libc庫,從而過濾 proc pid目錄 1.2 核心級rootkit 通過hook系統呼叫getdents getden...