Linux下查找后门程序 CentOS 查后门程序的shell脚本

更新时间：2014年09月23日 16:58:56 投稿：mdxy-dxy

这篇文章主要介绍了Linux下查找后门程序 CentOS 查后门程序的shell脚本,需要的朋友可以参考下

每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是linux（当前内核2.6）系统的实现。
一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。
因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：

在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。

#!/bin/bash

str_pids="`ps -A | awk '{print $1}'`";
for i in /proc/[[:digit:]]*;
do
	if echo "$str_pids" | grep -qs `basename "$i"`;
	then
		:
	else
		echo "Rootkit's PID: $(basename "$i")";
	fi
done

讨论：

检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。
而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：
rpm -Va
即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

您可能感兴趣的文章:

后门程序

详解Linux命令中的符号
这篇文章主要介绍了Linux命令中的符号,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2023-11-11
Shell脚本函数定义和函数参数
这篇文章主要介绍了Shell脚本函数定义和函数参数,分别介绍了2种自定义函数的方法,以及定义带返回值函数的方法,需要的朋友可以参考下
2014-07-07
shell中如何批量注释和取消注释
这篇文章主要介绍了shell中如何批量注释和取消注释，帮助大家更好的理解和学习shell脚本，感兴趣的朋友可以了解下
2020-08-08
Shell创建用户并生成随机密码脚本分享
这篇文章主要介绍了Shell创建用户并生成随机密码脚本分享,本文生成的随机密码会比较复杂和实用,需要的朋友可以参考下
2014-12-12
Linux下NC反弹shell命令（推荐）
这篇文章主要介绍了Linux下NC反弹shell命令，非常不错，具有参考借鉴价值，需要的的朋友参考下吧
2017-07-07
Shell管道和过滤器的使用
本文主要介绍了Shell管道和过滤器的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2024-03-03
Linux实现彻底清理空文件夹的方法详解
这篇文章主要介绍了Linux实现彻底删除指定路径下的所有空文件夹。这里的空文件夹的认定标准是：如果某个文件夹的子文件夹全是空文件夹，也认为该文件夹是空文件夹，需要的可以参考一下
2022-10-10
Shell基本运算符的实现
Shell支持多种运算符，主要包括算数运算符，关系运算符，布尔运算符，字符串运算符，文件测试运算符，下面我们就介绍一下这些运算符的用法
2023-05-05
Linux中10个方便的Bash别名
今天小编就为大家分享一篇关于Linux中10个方便的Bash别名，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-09-09
Shell中关于处理方法返回值问题详解
最近工作接触到了一些Linux上面的文本处理,数据量还是蛮大的,不可避免的学期了shell,awk等脚本语言。下面这篇文章主要给大家介绍了关于Shell中关于处理方法返回值问题的相关资料，需要的朋友可以参考借鉴，下面来一起看看吧。
2017-12-12

Linux下查找后门程序 CentOS 查后门程序的shell脚本

相关文章

最新评论

大家感兴趣的内容

最近更新的内容

常用在线小工具