Linux 命令被劫持了,怎么处理

在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。

这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。


1、AIDE 入侵检测

AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据库而获取文件变更记录。

1.aide安装配置

#直接安装aide
yum install aide -y
#生产初始化数据库
sudo aide --init
#根据配置文件命名规则生成新的数据库文件,需要重命名,以便AIDE读取。
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

2、进行检测对比

sudo aide --check

相关推荐
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付 19.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值