1.系統命令替換,通過stat檢視檔案狀態修改,md5sum檢視hash是否匹配,如果要修復,將正常檔案複製回來即可。
2.hook系統呼叫,在呼叫鏈中修改惡意庫,造成惡意呼叫實現隱藏。查詢此類 通過sysdig proc.name=ps檢視ps的呼叫 ,找到惡意的動態庫即可。也可以檢視環境變數ld_preload等屬性,檢視是否存在不正常的位置。
(1)呼叫openat系統函式獲取/proc目錄的檔案控制代碼
(2)呼叫系統函式getdents遞迴獲取/proc目錄下所有檔案資訊(包括子目錄)
(3)呼叫open函式開啟/proc/程序pid/stat和/proc/程序pid/status,以及/proc/程序pid/cmdline檔案開始獲取程序資訊
(4)然後列印輸出
這種劫持不會修改原始檔,因此在proc下可以看到是否有變化,這裡是檢視su的,通過檢視exe指向發現我是否存在異常
mount掛載隱藏
修復方法,檢視掛載,發現是否有異常
Linux程序隱藏問題 顯示隱藏程序
阿里云云監控到有兩台redis伺服器cpu被某程序消耗400 cpu資源 系統檢視top 情況並未找到高消耗程序x7但cpu100 ni netstat 查詢到了一些異常請求,初步判斷出元件被提權入侵了 嘗試查詢異常程序x7關聯的檔案,排查還在 etc hosts發現增加了如下異常對映,檢視相關異常...
Linux 程序隱藏之摘鏈隱藏
0x01 先說說一般程序隱藏程序的常見方式,這裡就直接引用大佬的辣 1.1 使用者級rootkit 通過ld preload來hook libc庫,從而過濾 proc pid目錄 1.2 核心級rootkit 通過hook系統呼叫getdents getdents64或者hook 檔案file op...
linux 隱藏程序 crux實現
本文在不修改ps或top命令的任何 與採用將程序號置0的方法的前提下,實現隱藏程序,本程式在crux 2.2上實現 1 原理 linux中,可以通過 proc檔案系統訪問到許多核心的內部資訊。proc檔案系統最初的設計也是用於方便地訪問程序相關的資訊,因此命名為proc。現在這個檔案系統已用於反映系...