Linux 痕迹清理 & 隐藏进程

最新推荐文章于 2025-06-10 14:14:14 发布
最新推荐文章于 2025-06-10 14:14:14 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33020901/article/details/82894353
本文探讨了黑客入侵后的系统防御策略,包括对比系统文件hash、利用系统完整性检查工具、监控环境变量及内核模块变动,以及如何进行痕迹清理,如历史记录清除、日志删除等,为网络安全提供实用指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 偷换系统二进制文件( ps , top 等) 

防范:  比对hash;系统完整性检查工具,比如tripwrie、aide等

2. 修改hook调用函数 (修改命令返回结果,原函数getdents)

防范:  sysdig(开源),检测LD_PRELOAD环境变量是否有异常,ld.so.preload文件异常(时间,大小)

3. 修改进程名字

防范:  /proc目录,查看exe的指向(ls -al xxxx) 略麻烦啊 ...

4. 统称 rootkit 吧 ......

防范: 查看lsmod是否有新内核模块加入等,不太会 :( ......

 

痕迹清理

1.  退出前 history -c

2.  多使用sftp吧 0.0

3.  web日志删除一些

4.  用户目录下很多 history,一言不合就是删 :)

4.  btmp wtmp 这些应该删,但是我用不着删 :)

 

https://www.anquanke.com/post/id/160843

http://www.freebuf.com/sectool/138350.html

Linux痕迹清除技术
Captain_RB的博客
01-17 7277
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性。
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
Linux 删除登录痕迹
最新发布
liulilittle的博客
06-10 704
echo "" | sudo tee /var/log/auth.log >/dev/null # 认证日志(Ubuntu/Debian)echo "" | sudo tee /var/log/wtmp >/dev/null # 用户登录/注销记录。echo "" | sudo tee /var/log/btmp >/dev/null # 失败登录记录。echo "" | sudo tee /var/log/lastlog >/dev/null # 最后登录信息。当然,仍可以先查阅以下文章。
Linux系统创建系统侦测不到的隐形进程(Rootkit技术必备)
Lieke的博客
10-27 441
在前面的文章中,我不止一次谈到隐藏一个进程的方法,该方法在我看来引以为豪地彻底又直接: 将task从tasks链表摘除。 将task从pid链表摘除。 如此一来除非你扫描run queue或者扫描内存进行特征匹配,否则很难找到这个被隐藏进程: task即使被隐藏也要进入run queue运行。 task的字段值或者其地址本身具有特征。 当然,前面提到的perf probe/trace,dump stack之类的侦测技术无疑也属于扫描run queue或者特征匹配的范畴。 方法是好方法,确实也可以吊打那些h
内网渗透之Linux痕迹清理
balalawb的博客
11-06 402
Linux痕迹清理
Linux 痕迹清理
悟能的师兄的专栏
09-21 2190
一:Linux痕迹清理 清理命令记录: (1)仅清理当前用户: history -c (2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0 (3)删除记录,至少删除下面几项日志 删除登录失败记录:echo > /var/log/btmp 删除登录成功记录:echo > /var/log/wtmp (此时执行last命令就会发现没有记录) 删除日志记录:echo > /var/log/secure 二:Linux日志列表 日志
Linux进程隐藏
w18mc0431的专栏
08-29 1444
linux3.3内核以后,在procs 增加了一个挂载选项hidepid,实现对用户隐藏进程。 hidepid=0: 默认模式,所有人都可以访问读取公开的 /proc/PID/* 文件 hidepid=1: 用户不能访问进入的/proc/PID 文件,除了属于他的目录,一些敏感文件比如cmdline, io, sched*, status, wchan对其他用户保护起来,。当用户输入ps,t
隐藏linux进程
雕刻刀
10-16 518
此外,gid参数可以配合hidepid一起使用。比如:hidepid=2,gid=1001,表示GID为1001的用户组成员可以查看所有进程信息。对于其他用户的进程,只能看到进程ID(PID),但无法查看进程的详细信息(如命令行、状态等)。hidepid=2:完全隐藏模式,普通用户只能看到自己的进程,其他用户的进程完全不可见。hidepid=0:默认选项,表示没有限制,所有用户都可以查看和访问/proc中的所有进程信息。如果设置为hidepid=2,其他用户的进程完全不可见,普通用户只能看到自己的进程
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 306
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
Linux 隐藏进程
chi's blog
10-09 1669
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
聊一聊Linux进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
(cc) Linux隐藏进程
cnbird's blog
12-10 625
http://blog.chinaunix.net/u3/103654/showart_2053105.htmlhttp://www.wangchao.net.cn/bbsdetail_1474332.html
linux清除痕迹的脚本
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
06-28 1385
#!/usr/bin/bash #edit www.jbxue.com echo > /var/log/syslog echo > /var/log/messages echo > /var/log/httpd/access_log echo > /var/log/httpd/error_log echo > /var/log/xferlog echo > /...
Linux系统下如何隐藏自己的进程
TCP/IP
04-02 5406
虽然并不建议直接使用root登录Linux系统,但很多时候,大家还是会用root登录,所以本文就假设你使用root登录了系统。 你想写一个进程,偷偷摸摸干点坏事,或者明目张胆地不断在屏幕上输出经理的手机号码,而这一切却又让经理要么发现不了,或者说即便被经理发现了也让他无能无力吗? 是的,你肯定想这么干,就像我一样,你唯一要做的,只是把你的这个进程隐藏掉。 隐藏进程这件事和经理无关,它是个手艺活儿。...
Linux之入侵痕迹清理总结
weixin_34415923的博客
03-15 684
rm -f -r /var/log/*rm .bash_historyrm recently_used
如何隐藏 Linux 进程
08-21 358
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。 网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。 本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。 target->pid = 0x7fffffff; 完
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2969
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
linux应急响应流程实战
03-16
### Linux环境下应急响应流程 在Linux环境中,应急响应是一个系统化的过程,旨在快速识别、遏制和修复潜在的安全威胁或故障。以下是针对Linux环境下的应急响应流程及相关技术要点: #### 一、准备阶段 此阶段的目标是建立完善的应急响应机制,确保团队能够迅速应对突发情况。 - **组织架构设计** 基于引用中的描述[^2],应急响应的组织架构应当清晰定义各小组的角色与职责。例如,技术保障组负责制定具体的技术支持方案,而日常运行组则需定期更新系统的配置文件和备份数据。 - **工具与资源配置** 准备必要的工具集,包括但不限于日志分析器、网络流量监控软件以及脚本自动化工具。 #### 二、检测与分析阶段 当发现异常行为时,立即启动检测程序以确认是否存在真正的安全事件。 - **日志审查** 对服务器上的各类日志进行全面检查,特别是`/var/log/auth.log`(记录登录尝试)、`/var/log/syslog`(综合系统活动)等重要位置[^1]。通过这些日志可以追踪到可疑用户的操作痕迹及其访问模式。 - **进程排查** 使用命令如 `ps aux`, `top`, 或者更高级别的工具如 `htop` 来查找任何不寻常或者未知的服务正在运行。此外还可以借助专门用于恶意软件扫描的应用来辅助判断是否有隐藏进程存在[^3]。 ```bash # 查看所有正在运行的进程 ps aux | grep suspicious_process_name ``` #### 三、遏制措施 一旦验证确实发生了安全事故,则需要采取行动阻止进一步扩散。 - **隔离受影响主机** 将受感染机器从生产网络断开连接,防止攻击者利用该节点作为跳板继续渗透其他设备。 - **调整防火墙规则** 修改现有的防火墙设置,封锁已知被滥用端口和服务入口。例如关闭不必要的SSH远程管理接口除非绝对必要才开启特定IP白名单访问权限。 ```bash # 添加一条新的iptables规则拒绝外部ssh请求 sudo iptables -A INPUT -p tcp --dport 22 -j DROP ``` #### 四、根除与恢复阶段 彻底清除残留威胁并恢复正常业务运作。 - **清理恶意组件** 删除由黑客植入的所有非法文件夹及注册表项等内容,并重新安装可能已被篡改的核心应用程序版本。 - **强化防护体系** 定期打补丁升级操作系统内核以及其他第三方库依赖包至最新稳定版号;启用SELinux强制执行策略加强本地权限管控力度。 #### 五、事后总结报告撰写 完成整个处置过程之后编写详尽的事发经过说明文档供未来参考学习之用。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值