今天看到乙個有意思的攻擊方式,系統被人入侵,當這個入侵程式執行的時候會產生乙個程序pid,
一般這個程序不是在/proc中產生的,所以可以用指令碼匹配系統有沒有被入侵。嘗試一下指令碼,學習shell中。
我用ps aux可以檢視到程序的pid,而每個pid都會在/proc中產生。如果檢視到的pid在/proc中沒有的,則程序是被人修改了
這就代表系統很有可能是被人入侵過的
r=$$
ps-elf|sed '1'd > /tmp/pid.txt
#列出pid,並刪除第一行,將結果寫入/tmp/pid.txt
for pid in `awk -v rn=$r
'$5!=rn '
/tmp/pid.txt`
#awk顯示出來的pid在第四列,把第四列過濾掉; 把ps -elf顯示出來的第四列,列印出來。-v:引用的意思,$5!=rn
# $5不等於rn $4
doif![
-d /proc/
$pid
] then
echo
"系統中並沒有pid為$pid的目錄,需要檢查系統."
fidone
Linux檢視是否被入侵
一.檢查系統日誌 lastb命令檢查系統錯誤登陸日誌,統計ip重試次數 二.檢查系統使用者 1 cat etc passwd檢視是否有異常的系統使用者 2 grep 0 etc passwd檢視是否產生了新使用者,uid和gid為0的使用者 3 ls l etc passwd檢視passwd的修改時...
Linux入侵檢查
history last lastlog看登入操作歷史 crontab l cat etc cron 看任務有無異常 top 看有沒有cpu占用高的,如果中了挖礦木馬,cpu占用會很高。sar n dev 看有沒有大流量 netstat anput看有無異常連線,異常連線的對端位址能不能封掉 lso...
審查Linux是否被入侵的方法
一 檢查系統日誌 lastb命令檢查系統錯誤登陸日誌,統計ip重試次數 二 檢查系統使用者 1 cat etc passwd 檢視是否有異常的系統使用者 2 grep 0 etc passwd 檢視是否產生了新使用者,uid和gid為0的使用者 3 ls l etc passwd 檢視passwd的...