English |
  • 美国VPS主机推荐
  • |
  • 代购服务
  • |
  • 10美元以下VPS
  • |
  • VPS新手指南/教程
  • |
  • 留言板
  • |
  • 关于
  • | 登录 |

    Linux VPS上查找后门程序

    2010年02月6日 上午 | 作者:VPS侦探

    在初中和高中时对网络安全这方面很感兴趣,接触过的网络安全知识也都是些Windows下的,Linux下的接触比较少,但是很多VPSer们也想更多的了解Linux下面的安全设置,所以先在网上找些给大家恶补一下,我有时间也多恶补一下,多写些教程。

    每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是Linux(当前内核2.6)系统的实现。

    一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。

    因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。

    思路:
    在/proc中存在的进程ID,在 ps 中查看不到(被隐藏),必有问题。

    for i in /proc/[0-9]* ; do

    讨论:

    检查系统(Linux)是不是被黑,其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说,要想剔除干净,将是一件分精密、痛苦的事情,通常这种情况,需要用专业的第三方的工具(有开源的,比如tripwire,比如aide)来做这件事情。

    而专业的工具,部署、使用相对比较麻烦,也并非所有的管理员都能熟练使用。

    实际上Linux系统本身已经提供了一套“校验”机制,在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能:

    rpm -Va

    即可校验系统上所有的包,输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了,比如被修改过。

    转载自:http://www.bsdmap.com/2010/02/02/proc-usage/

    >>转载请注明出处:VPS侦探 本文链接地址:https://www.vpser.net/security/linux-vps-find-backdoor.html
    VPS侦探推荐:
    遨游主机Linode搬瓦工OAH新加坡VPSLOCVPSDiaHostingKVMLAVPS2EZBudgetVMVultr美国VPS主机
    欢迎加入VPS侦探论坛交流:https://bbs.vpser.net

    发表评论

    *必填

    *必填 (不会被公开)

    4 + 2 = ?

    评论(一条评论)

    1. 你这命令都不完整…