Linux下查找后門程序 CentOS 查后門程序的shell腳本

更新時(shí)間：2014年09月23日 16:58:56 投稿：mdxy-dxy

這篇文章主要介紹了Linux下查找后門程序 CentOS 查后門程序的shell腳本,需要的朋友可以參考下

每個(gè)進(jìn)程都會(huì)有一個(gè)PID，而每一個(gè)PID都會(huì)在/proc目錄下有一個(gè)相應(yīng)的目錄，這是linux（當(dāng)前內(nèi)核2.6）系統(tǒng)的實(shí)現(xiàn)。
一般后門程序，在ps等進(jìn)程查看工具里找不到，因?yàn)檫@些常用工具甚至系統(tǒng)庫(kù)在系統(tǒng)被入侵之后基本上已經(jīng)被動(dòng)過(guò)手腳（網(wǎng)上流傳著大量的rootkit。假如是內(nèi)核級(jí)的木馬，那么該方法就無(wú)效了）。
因?yàn)樾薷南到y(tǒng)內(nèi)核相對(duì)復(fù)雜（假如內(nèi)核被修改過(guò)，或者是內(nèi)核級(jí)的木馬，就更難發(fā)現(xiàn)了），所以在/proc下，基本上還都可以找到木馬的痕跡。

思路：

在/proc中存在的進(jìn)程ID，在 ps 中查看不到（被隱藏），必有問(wèn)題。

#!/bin/bash

str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
	if echo "$str_pids" | grep -qs `basename "$i"`;
	then
		:
	else
		echo "Rootkit's PID: $(basename "$i")";
	fi
done

討論：

檢查系統(tǒng)(Linux)是不是被黑，其復(fù)雜程度主要取決于入侵者“掃尾工作”是否做得充足。對(duì)于一次做足功課的入侵來(lái)說(shuō)，要想剔除干凈，將是一件分精密、痛苦的事情，通常這種情況，需要用專業(yè)的第三方的工具（有開源的，比如tripwire，比如aide）來(lái)做這件事情。
而專業(yè)的工具，部署、使用相對(duì)比較麻煩，也并非所有的管理員都能熟練使用。

實(shí)際上Linux系統(tǒng)本身已經(jīng)提供了一套“校驗(yàn)”機(jī)制，在檢查系統(tǒng)上的程序沒(méi)有被修改。比如rpm包管理系統(tǒng)提供的 -V 功能：
rpm -Va
即可校驗(yàn)系統(tǒng)上所有的包，輸出與安裝時(shí)被修改過(guò)的文件及相關(guān)信息。但是rpm系統(tǒng)也可能被破壞了，比如被修改過(guò)。

您可能感興趣的文章:

后門程序

相關(guān)文章

linux仿寫chmod命令
這篇文章主要介紹了linux仿寫chmod命令的方法,需要的朋友可以參考下
2014-02-02
查看某時(shí)間段到現(xiàn)在的系統(tǒng)日志的sed命令
查看某時(shí)間段到現(xiàn)在的系統(tǒng)日志的sed命令，需要的朋友可以參考下
2013-02-02
詳解Linux--shell腳本之正則表達(dá)式
本篇文章主要介紹了Linux--shell腳本之正則表達(dá)式，具有一定的參考價(jià)值，有興趣的可以了解一下。
2017-01-01
Shell腳本的超詳細(xì)講解(推薦!)
Shell 是一個(gè)用 C 語(yǔ)言編寫的程序,它是用戶使用 Linux 的橋梁,下面這篇文章主要給大家介紹了關(guān)于Shell腳本的超詳細(xì)講解,文中通過(guò)實(shí)例代碼介紹的非常詳細(xì),需要的朋友可以參考下
2022-07-07
詳解Shell if else語(yǔ)句的具體使用方法
這篇文章主要介紹了詳解Shell if else語(yǔ)句的具體使用方法，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2021-03-03
Bash?中?nohup?與?&?的區(qū)別及用法詳解
在Bash中,`&`、`nohup`和`disown`各有用途：`&`用于后臺(tái)運(yùn)行命令,選擇合適的工具可以實(shí)現(xiàn)后臺(tái)任務(wù)的穩(wěn)定運(yùn)行,本文介紹Bash?中?nohup?與?&?的區(qū)別及用法,感興趣的朋友一起看看吧
2025-01-01
關(guān)于SSH 遠(yuǎn)程執(zhí)行命令你要知道的二三事
SSH 是 Linux 下進(jìn)行遠(yuǎn)程連接的基本工具，但是如果僅僅用它來(lái)登錄那可是太浪費(fèi)啦！SSH 命令可是完成遠(yuǎn)程操作的神器啊，下面這篇文章主要給大家介紹了關(guān)于SSH 遠(yuǎn)程執(zhí)行命令的一些相關(guān)資料，需要的朋友可以參考下。
2017-07-07
linux 創(chuàng)建守護(hù)進(jìn)程的相關(guān)知識(shí)
這篇文章主要介紹了linux 創(chuàng)建守護(hù)進(jìn)程的相關(guān)知識(shí),需要的朋友可以參考下
2014-01-01
Shell定時(shí)刪除指定時(shí)間之前的文件
這篇文章主要介紹了Shell定時(shí)刪除指定時(shí)間之前的文件,本文用來(lái)刪除一個(gè)月之前的備份文件,并加入到crontag定時(shí)刪除,需要的朋友可以參考下
2014-12-12
Shell eval通過(guò)變量獲取環(huán)境變量的方法實(shí)現(xiàn)
這篇文章主要介紹了Shell eval通過(guò)變量獲取環(huán)境變量的方法實(shí)現(xiàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2020-12-12