Linux 痕迹清理 & 隐藏进程

最新推荐文章于 2025-06-10 14:14:14 发布
最新推荐文章于 2025-06-10 14:14:14 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33020901/article/details/82894353
本文探讨了黑客入侵后的系统防御策略,包括对比系统文件hash、利用系统完整性检查工具、监控环境变量及内核模块变动,以及如何进行痕迹清理,如历史记录清除、日志删除等,为网络安全提供实用指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 偷换系统二进制文件( ps , top 等) 

防范:  比对hash;系统完整性检查工具,比如tripwrie、aide等

2. 修改hook调用函数 (修改命令返回结果,原函数getdents)

防范:  sysdig(开源),检测LD_PRELOAD环境变量是否有异常,ld.so.preload文件异常(时间,大小)

3. 修改进程名字

防范:  /proc目录,查看exe的指向(ls -al xxxx) 略麻烦啊 ...

4. 统称 rootkit 吧 ......

防范: 查看lsmod是否有新内核模块加入等,不太会 :( ......

 

痕迹清理

1.  退出前 history -c

2.  多使用sftp吧 0.0

3.  web日志删除一些

4.  用户目录下很多 history,一言不合就是删 :)

4.  btmp wtmp 这些应该删,但是我用不着删 :)

 

https://www.anquanke.com/post/id/160843

http://www.freebuf.com/sectool/138350.html

Windows 入侵痕迹清理技巧
09-09 4万+
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。01、Windows日志清除...
66、网络攻击后的痕迹隐藏与检测规避技术解析
最新发布
jj890的博客
08-02 13
本文详细解析了网络攻击后攻击者用于隐藏痕迹和规避检测的各种技术,包括日志文件的篡改与删除、IDS 规避技术、取证规避机制、环境清理技术、文件隐藏与文件系统操纵技术,以及特殊的数据隐藏手段如替代数据流(ADS)和隐写术。这些技术展示了攻击者如何掩盖攻击行为,为安全人员提供防范和检测的参考依据。
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
Linux痕迹清除技术
Captain_RB的博客
01-17 7277
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性。
Linux 删除登录痕迹
liulilittle的博客
06-10 704
echo "" | sudo tee /var/log/auth.log >/dev/null # 认证日志(Ubuntu/Debian)echo "" | sudo tee /var/log/wtmp >/dev/null # 用户登录/注销记录。echo "" | sudo tee /var/log/btmp >/dev/null # 失败登录记录。echo "" | sudo tee /var/log/lastlog >/dev/null # 最后登录信息。当然,仍可以先查阅以下文章。
Linux系统创建系统侦测不到的隐形进程(Rootkit技术必备)
Lieke的博客
10-27 441
在前面的文章中,我不止一次谈到隐藏一个进程的方法,该方法在我看来引以为豪地彻底又直接: 将task从tasks链表摘除。 将task从pid链表摘除。 如此一来除非你扫描run queue或者扫描内存进行特征匹配,否则很难找到这个被隐藏进程: task即使被隐藏也要进入run queue运行。 task的字段值或者其地址本身具有特征。 当然,前面提到的perf probe/trace,dump stack之类的侦测技术无疑也属于扫描run queue或者特征匹配的范畴。 方法是好方法,确实也可以吊打那些h
内网渗透之Linux痕迹清理
balalawb的博客
11-06 402
Linux痕迹清理
Linux应急响应思路和技巧(一):进程分析篇
WangsuSecurity的博客
05-27 2174
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
Kali linux 学习笔记(二十六)提权——收集信息和隐藏痕迹 2020.3.5
闵行小鱼塘
03-05 892
得到高权限的用户后,我们需要进行有用信息的收集,并尽可能隐藏痕迹
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
Linux 痕迹清理
悟能的师兄的专栏
09-21 2190
一:Linux痕迹清理 清理命令记录: (1)仅清理当前用户: history -c (2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0 (3)删除记录,至少删除下面几项日志 删除登录失败记录:echo > /var/log/btmp 删除登录成功记录:echo > /var/log/wtmp (此时执行last命令就会发现没有记录) 删除日志记录:echo > /var/log/secure 二:Linux日志列表 日志
Linux进程隐藏
w18mc0431的专栏
08-29 1444
linux3.3内核以后,在procs 增加了一个挂载选项hidepid,实现对用户隐藏进程。 hidepid=0: 默认模式,所有人都可以访问读取公开的 /proc/PID/* 文件 hidepid=1: 用户不能访问进入的/proc/PID 文件,除了属于他的目录,一些敏感文件比如cmdline, io, sched*, status, wchan对其他用户保护起来,。当用户输入ps,t
隐藏linux进程
雕刻刀
10-16 518
此外,gid参数可以配合hidepid一起使用。比如:hidepid=2,gid=1001,表示GID为1001的用户组成员可以查看所有进程信息。对于其他用户的进程,只能看到进程ID(PID),但无法查看进程的详细信息(如命令行、状态等)。hidepid=2:完全隐藏模式,普通用户只能看到自己的进程,其他用户的进程完全不可见。hidepid=0:默认选项,表示没有限制,所有用户都可以查看和访问/proc中的所有进程信息。如果设置为hidepid=2,其他用户的进程完全不可见,普通用户只能看到自己的进程
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 306
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
Linux 隐藏进程
chi's blog
10-09 1669
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
聊一聊Linux进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
(cc) Linux隐藏进程
cnbird's blog
12-10 625
http://blog.chinaunix.net/u3/103654/showart_2053105.htmlhttp://www.wangchao.net.cn/bbsdetail_1474332.html
linux应急响应流程实战
03-16
### Linux环境下应急响应流程 在Linux环境中,应急响应是一个系统化的过程,旨在快速识别、遏制和修复潜在的安全威胁或故障。以下是针对Linux环境下的应急响应流程及相关技术要点: #### 一、准备阶段 此阶段的目标是建立完善的应急响应机制,确保团队能够迅速应对突发情况。 - **组织架构设计** 基于引用中的描述[^2],应急响应的组织架构应当清晰定义各小组的角色与职责。例如,技术保障组负责制定具体的技术支持方案,而日常运行组则需定期更新系统的配置文件和备份数据。 - **工具与资源配置** 准备必要的工具集,包括但不限于日志分析器、网络流量监控软件以及脚本自动化工具。 #### 二、检测与分析阶段 当发现异常行为时,立即启动检测程序以确认是否存在真正的安全事件。 - **日志审查** 对服务器上的各类日志进行全面检查,特别是`/var/log/auth.log`(记录登录尝试)、`/var/log/syslog`(综合系统活动)等重要位置[^1]。通过这些日志可以追踪到可疑用户的操作痕迹及其访问模式。 - **进程排查** 使用命令如 `ps aux`, `top`, 或者更高级别的工具如 `htop` 来查找任何不寻常或者未知的服务正在运行。此外还可以借助专门用于恶意软件扫描的应用来辅助判断是否有隐藏进程存在[^3]。 ```bash # 查看所有正在运行的进程 ps aux | grep suspicious_process_name ``` #### 三、遏制措施 一旦验证确实发生了安全事故,则需要采取行动阻止进一步扩散。 - **隔离受影响主机** 将受感染机器从生产网络断开连接,防止攻击者利用该节点作为跳板继续渗透其他设备。 - **调整防火墙规则** 修改现有的防火墙设置,封锁已知被滥用端口和服务入口。例如关闭不必要的SSH远程管理接口除非绝对必要才开启特定IP白名单访问权限。 ```bash # 添加一条新的iptables规则拒绝外部ssh请求 sudo iptables -A INPUT -p tcp --dport 22 -j DROP ``` #### 四、根除与恢复阶段 彻底清除残留威胁并恢复正常业务运作。 - **清理恶意组件** 删除由黑客植入的所有非法文件夹及注册表项等内容,并重新安装可能已被篡改的核心应用程序版本。 - **强化防护体系** 定期打补丁升级操作系统内核以及其他第三方库依赖包至最新稳定版号;启用SELinux强制执行策略加强本地权限管控力度。 #### 五、事后总结报告撰写 完成整个处置过程之后编写详尽的事发经过说明文档供未来参考学习之用。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值