如何使用 Unhide 發現隱藏的 Linux 進程

[*]儘管 GNU/Linux 是一個極其安全的操作系統,但許多人被引誘到一種虛假的安全感中。 他們有一種誤解,認為什麼都不會發生,因為他們在安全的環境中工作。 誠然,Linux 環境中幾乎沒有惡意軟件,但 Linux 安裝最終還是有可能受到威脅。 如果不出意外,考慮到 rootkit 和其他類似攻擊的可能性是系統管理的重要組成部分。 rootkit 是指第三方在訪問他們無權訪問的計算機系統後使用的一組工具。 該工具包可用於在合法用戶不知情的情況下修改文件。 Unhide 軟件包提供了快速找到此類受感染軟件的技術。

[*]Unhide 位於大多數主要 Linux 發行版的存儲庫中。 使用像 sudo apt-get install unhide 這樣的包管理器命令足以強制它安裝在 Debian的 y Ubuntu的. 具有 GUI 訪問權限的服務器可以使用 Synaptic 包管理器。 Fedora 和 Arch 發行版為他們自己的包管理系統預先構建了 unhide 版本。 安裝 show 後,系統管理員應該能夠以多種不同的方式使用它。

方法一:識別蠻力進程

[*]最基本的技術涉及對每個進程 ID 進行暴力破解,以確保它們都沒有對用戶隱藏。 除非您具有 root 訪問權限,否則請在 CLI 提示符處鍵入 sudo show brute -d。 選項 d 重複測試以減少報告的誤報數量。

[*]輸出非常基本。 在版權信息之後,取消隱藏將解釋它執行的檢查。 會有一行說:

[*]開始使用 fork() 對 PIDS 進行暴力掃描
[*] 和另一個說:

[*]使用 pthread 函數對 PIDS 進行暴力掃描
[*]如果沒有其他出路,則無需擔心。 如果程序的原始子程序找到任何東西,它將報告如下內容:

[*]找到隱藏的PID:0000

[*]四個零將替換為有效數字。 如果它只是說這是一個瞬態過程,那麼這可能是誤報。 隨意多次運行測試,直到獲得乾淨的結果。 如果有更多信息,則可能需要進行後續檢查。 如果需要日誌,可以使用 -f 開關在當前目錄中創建日誌文件。 較新版本的程序將此文件稱為 unhide-linux.log,它會顯示純文本輸出。

方法 2:比較 /proc 和 /bin/ps

[*]相反,您可以直接顯示比較 /bin/ps 和 /proc 進程列表,以確保 Unix 文件樹中的這兩個單獨的列表匹配。 如果出現問題,程序將報告異常 PID。 Unix 規則規定正在運行的進程必須在這兩個列表中顯示標識號。 鍵入 sudo show proc -v 開始測試。 添加 v 將使程序進入詳細模式。

[*]此方法將返回警告指示:

[*]通過/proc統計分析搜索隱藏進程
[*]如果發生異常情況,它會出現在這行文本之後。

方法3:結合Proc和Procfs技術

[*]如有必要,您可以比較 Unix /bin/ps 和 /proc 文件樹列表,同時將 /bin/ps 列表中的所有信息與 procfs 中的虛擬條目進行比較。 這將檢查 Unix 文件樹規則和 procfs 數據。 鍵入 sudo unhide procall -v 來執行此測試,這可能會非常耗時,因為您必須掃描所有 /proc 統計信息並執行其他測試。 這是確保服務器上的所有內容都是 copasetic 的好方法。

[*]

方法四:procfs結果與/bin/ps對比

[*]上述測試對於大多數應用程序來說太複雜了,但是為了一些方便,您可以獨立運行 proc 文件系統檢查。 鍵入 sudo show procfs -m,除了通過添加 -m 提供的更多檢查之外,它還將執行這些檢查。

[*]這仍然是一個相當複雜的測試,可能需要一段時間。 返回三行單獨的輸出:

[*]

[*]請注意,您可以通過在命令中添加 -f 來創建包含任何這些測試的完整日誌。

方法 5 – 運行快速掃描

[*]如果您只需要運行快速掃描而不用擔心深度檢查,只需鍵入 sudo show quick,它的運行速度應該與名稱所暗示的一樣快。 該技術掃描進程列表以及進程文件系統。 它還運行一項檢查,將 /bin/ps 收集的信息與系統資源調用提供的信息進行比較。 這提供了單行輸出,但不幸的是增加了誤報的風險。 在查看以前的結果後仔細檢查是很有用的。

[*]輸出如下:

[*]通過比較系統調用、proc、dir和ps的結果來搜索隱藏進程
[*]運行此掃描後,您可能會看到幾個臨時進程出現。

方法 6 – 運行反向掃描

[*]檢測 Rootkit 的一項出色技術是檢查所有 ps 線程。 如果您在 CLI 提示符下運行 ps 命令,您可以看到從終端運行的命令列表。 反向掃描驗證其 ps 映像顯示有效系統調用的每個處理器線程,並且可以在 procfs 列表中進行搜索。 這是確保 rootkit 沒有刪除某些內容的好方法。 只需鍵入 sudo show reverse 即可運行此檢查。 它應該工作得非常快。 運行時,程序應通知您它正在尋找惡意進程。

方法七:比較 /bin/ps 和系統調用

[*]最後,最完整的檢查是將 /bin/ps 列表中的所有信息與從有效系統調用中提取的信息進行比較。 鍵入 sudo show sys 以開始此測試。 運行時間很可能比其他運行時間更長。 由於它提供了許多不同的輸出行,您可能希望使用 -f log-to-file 命令來更輕鬆地查看您找到的所有內容。

[*]接下來閱讀

[*]

  • 如何在 Microsoft Excel 中隱藏和顯示行和列
  • Linux From Scratch 及更高版本的 Linux From Scratch 8.3 使用 Linux 內核......
  • 如何在 Linux 中關閉隱藏的 Windows 屬性
  • Firefox 4 中的最大內容進程數從 8 個增加到 66 個解決...

相關文章