简单的Linux查找后门思路和shell脚本分享
每个进程都会有一个PID,而每一个PID都会在/proc目录下有一个相应的目录,这是linux(当前内核2.6)系统的实现。
一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。
因为修改系统内核相对复杂(假如内核被修改过,或者是内核级的木马,就更难发现了),所以在/proc下,基本上还都可以找到木马的痕迹。
思路:
在/proc中存在的进程ID,在ps中查看不到(被隐藏),必有问题。
#!/bin/bash
str_pids="`ps-A|awk'{print$1}'`"; foriin/proc/[[:digit:]]*; do ifecho"$str_pids"|grep-qs`basename"$i"`; then : else echo"Rootkit'sPID:$(basename"$i")"; fi done