安全类问题>linuxCentOS检测见侧门程序的shell

linuxCentOS检测见侧门程序的shell

通常侧门程序，在ps等进程查看工具里找不到，由于这种常用工具甚至系统库在系统被入侵以后基本上早已被动过四肢（网上留传着大量的rootkit。如果是内核级的木马，这么该技巧就无效了）。

由于更改系统内核相对复杂（如果内核被更改过linux 下载工具，或则是内核级的木马，就更难发觉了）linux后门程序，所以在/proc下，基本上还都可以找到木马的痕迹。

思路：

在/proc中存在的进程IDlinux后门程序，在ps中查看不到（被隐藏），必有问题。

#!/bin/bash

str_pids="`ps-A|awk'{print$1}'`";

foriin/proc/[[:digit:]]*;

do

ifecho"$str_pids"|grep-qs`basename"$i"`;

then

:

else

echo"Rootkit'sPID:$(basename"$i")";

fi

done

讨论：

检测系统(Linux)是不是被黑linux数据恢复，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，一般这些情况，须要用专业的第三方的工具（有开源的，例如tripwire，例如aide）来做这件事情。

而专业的工具，布署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身早已提供了一套“校验”机制，在检测系统上的程序没有被更改。例如rpm包管理系统提供的-V功能：

rpm-Va

即可校准系统上所有的包，输出与安装时被更改过的文件及相关信息。并且rpm系统也可能被破坏了，例如被更改过。

本文原创地址：https://www.linuxprobe.com/lhmcxjcxtlsb.html编辑：刘遄，审核员：暂无