重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

Linux命令被劫持了怎么办

本篇内容介绍了“Linux命令被劫持了怎么办”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!

成都创新互联公司专注于盘龙网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供盘龙营销型网站建设,盘龙网站制作、盘龙网页设计、盘龙网站官网定制、微信小程序定制开发服务,打造盘龙网络公司原创品牌,更为您提供盘龙网站排名全网营销落地服务。

在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。

1、AIDE 入侵检测

AIDE  是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。

(1)aide安装配置

#直接安装aide yum install aide -y #生产初始化数据库 sudo aide --init #根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。 sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

(2)进行检测对比

sudo aide --check

Linux命令被劫持了怎么办

如上,通过对比可以快速发现系统命令PS被篡改。

2、RPM 检查

通过rpm -Va来检查已安装的rpm包的完整性,防止rpm也被替换,可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果  ,如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下:

S         文件大小是否改变 M         文件的类型或文件的权限(rwx)是否被改变 5         文件MD5校验是否改变(可以看成文件内容是否改变) D         设备中,从代码是否改变 L         文件路径是否改变 U         文件的属主(所有者)是否改变 G         文件的属组是否改变 T         文件的修改时间是否改变

Linux命令被劫持了怎么办

如上,ps命令左侧显示T,代表这个系统文件的修改时间被改变。

“Linux命令被劫持了怎么办”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注创新互联网站,小编将为大家输出更多高质量的实用文章!


文章名称:Linux命令被劫持了怎么办
转载来源:http://cqcxhl.com/article/pgchhc.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP