文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Linux 命令被劫持了,怎么处理

2024-12-03 10:34

关注

本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。   

在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。

1、AIDE 入侵检测

AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。

(1)aide安装配置

  1. #直接安装aide 
  2. yum install aide -y 
  3. #生产初始化数据库 
  4. sudo aide --init 
  5. #根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。 
  6. sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

(2)进行检测对比

  1. sudo aide --check 

如上,通过对比可以快速发现系统命令PS被篡改。

2、RPM 检查

通过rpm -Va来检查已安装的rpm包的完整性,防止rpm也被替换,可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下:

  1. S         文件大小是否改变 
  2. M         文件的类型或文件的权限(rwx)是否被改变 
  3. 5         文件MD5校验是否改变(可以看成文件内容是否改变) 
  4. D         设备中,从代码是否改变 
  5. L         文件路径是否改变 
  6. U         文件的属主(所有者)是否改变 
  7. G         文件的属组是否改变 
  8. T         文件的修改时间是否改变 

 

如上,ps命令左侧显示T,代表这个系统文件的修改时间被改变。

 

来源:Bypass内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯