Linux 命令被劫持了,怎么处理

系统 Linux
在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

[[384750]]

本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。   

在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。

1、AIDE 入侵检测

AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。

(1)aide安装配置

  1. #直接安装aide 
  2. yum install aide -y 
  3. #生产初始化数据库 
  4. sudo aide --init 
  5. #根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。 
  6. sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

(2)进行检测对比

  1. sudo aide --check 

如上,通过对比可以快速发现系统命令PS被篡改。

2、RPM 检查

通过rpm -Va来检查已安装的rpm包的完整性,防止rpm也被替换,可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下:

  1. S         文件大小是否改变 
  2. M         文件的类型或文件的权限(rwx)是否被改变 
  3. 5         文件MD5校验是否改变(可以看成文件内容是否改变) 
  4. D         设备中,从代码是否改变 
  5. L         文件路径是否改变 
  6. U         文件的属主(所有者)是否改变 
  7. G         文件的属组是否改变 
  8. T         文件的修改时间是否改变 

 

如上,ps命令左侧显示T,代表这个系统文件的修改时间被改变。

 

责任编辑:武晓燕 来源: Bypass
相关推荐

2014-05-29 11:16:49

2021-10-19 15:52:58

Tor站点劫持REvil

2022-08-02 15:05:58

安全帐户劫持数据

2015-07-16 10:49:56

2014-08-26 18:24:50

2014-09-09 16:44:16

2009-05-14 09:36:19

2019-02-28 07:58:57

路由器攻击病毒

2021-08-06 11:24:35

域名劫持网站安全网络攻击

2021-02-09 00:51:30

恶意软件黑客网络攻击

2019-05-22 17:55:36

浏览器 Chrome Google

2021-03-04 14:55:50

微软漏洞黑客

2020-07-24 10:35:50

量子芯片互联网

2024-02-29 16:27:09

2015-08-17 11:02:48

物联网

2015-05-13 11:14:53

2014-08-06 11:24:24

Elasticsear劫持挂马

2016-09-12 14:22:48

2009-07-14 10:12:24

2024-09-05 15:12:07

点赞
收藏

51CTO技术栈公众号