0

0

Linux 检查隐藏进程与后门

冷炫風刃

冷炫風刃

发布时间:2026-02-27 14:52:53

|

417人浏览过

|

来源于php中文网

原创

linux 检查隐藏进程与后门

Linux 系统中隐藏进程和后门往往通过 rootkit、内核模块篡改、ptrace 欺骗或进程伪装等方式规避常规命令检测。单纯依赖 pstophtop 很容易漏掉恶意活动。要有效排查,需结合多维度比对与底层检查。

用 /proc 文件系统交叉验证进程真实性

/proc 是内核暴露进程信息的直接接口,绕过用户态工具的钩子干扰。重点检查以下几点:

  • 遍历 /proc/[0-9]* 目录,确认每个 PID 对应的 /proc/PID/exe(符号链接)是否指向真实可执行文件;若显示 (deleted) 或无法解析,需警惕已删除但仍在运行的恶意程序
  • 检查 /proc/PID/cmdline 内容是否与 ps 输出一致;不一致可能说明进程名被篡改(如将 bash 伪装成 sshd
  • 对比 /proc/PID/status 中的 PPid(父进程 ID)是否合理;例如一个“systemd”子进程却由非 1 的 PID 启动,值得深入追踪

检测异常内核模块与隐藏系统调用

rootkit 常通过加载恶意内核模块(LKM)劫持系统调用表(sys_call_table),使 psls 等命令过滤掉特定进程或文件。可执行:

ColorMagic
ColorMagic

AI调色板生成工具

下载
  • lsmod 查看已加载模块,重点关注名称可疑(如 hiderootkitacpinv 等仿冒驱动)、作者为空或为未知第三方的模块
  • cat /proc/sys/kernel/modules_disabled 若为 1,说明模块加载已被禁用——正常系统通常为 0;若突变为 1,可能是攻击者为防止被卸载而锁定
  • 使用 ksymoopscrash 工具(需 vmlinux)检查 sys_call_table 是否被 patch,但需调试符号支持,生产环境较少启用

比对不同工具输出识别不一致项

攻击者常只 hook 部分工具。同时运行多个进程查看命令,发现差异即为线索:

  • 运行 ps auxfps -eflsof -i -P -npidof -x bash 等,记录所有 PID 列表,用 comm -3 找出仅存在于某一种输出中的 PID
  • 使用 netstat -tulpnss -tulpn 对比监听端口与对应 PID;若某个端口在 ss 中可见但在 netstat 中无 PID 显示,可能 netstat 被 LD_PRELOAD 劫持
  • 检查 /proc/net/tcp/proc/net/udp 等原始套接字文件,手动解析十六进制 inode,再反查 /proc/[0-9]*/fd/ 下的 socket 链接,确认归属进程

检查可疑持久化与启动入口

后门进程往往伴随自启动机制,需排查非常规入口点:

  • 检查定时任务:crontab -l(当前用户)、cat /etc/crontabls /etc/cron.*systemctl list-timers --all
  • 检查服务单元:systemctl list-unit-files --type=service | grep enabled,特别关注名称含 updatechecksync 等模糊词汇的服务;用 systemctl cat servicename 查看实际 ExecStart 指令
  • 检查用户级启动项:~/.bashrc~/.profile~/.bash_profile 中是否有异常 nohup 或后台 curl/wget 下载执行语句
  • 检查 PAM 配置:/etc/pam.d/common-session/etc/pam.d/sshd 中是否插入了可疑 pam_exec.so 模块

排查隐藏进程与后门不是单次操作,而是建立基线 + 持续比对的过程。建议在可信状态下生成干净的 /proc 快照、模块列表、启动服务清单,作为后续审计参照。不复杂但容易忽略。

相关文章

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
sort排序函数用法
sort排序函数用法

sort排序函数的用法:1、对列表进行排序,默认情况下,sort函数按升序排序,因此最终输出的结果是按从小到大的顺序排列的;2、对元组进行排序,默认情况下,sort函数按元素的大小进行排序,因此最终输出的结果是按从小到大的顺序排列的;3、对字典进行排序,由于字典是无序的,因此排序后的结果仍然是原来的字典,使用一个lambda表达式作为key参数的值,用于指定排序的依据。

404

2023.09.04

session失效的原因
session失效的原因

session失效的原因有会话超时、会话数量限制、会话完整性检查、服务器重启、浏览器或设备问题等等。详细介绍:1、会话超时:服务器为Session设置了一个默认的超时时间,当用户在一段时间内没有与服务器交互时,Session将自动失效;2、会话数量限制:服务器为每个用户的Session数量设置了一个限制,当用户创建的Session数量超过这个限制时,最新的会覆盖最早的等等。

332

2023.10.17

session失效解决方法
session失效解决方法

session失效通常是由于 session 的生存时间过期或者服务器关闭导致的。其解决办法:1、延长session的生存时间;2、使用持久化存储;3、使用cookie;4、异步更新session;5、使用会话管理中间件。

773

2023.10.18

cookie与session的区别
cookie与session的区别

本专题整合了cookie与session的区别和使用方法等相关内容,阅读专题下面的文章了解更详细的内容。

97

2025.08.19

curl_exec
curl_exec

curl_exec函数是PHP cURL函数列表中的一种,它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例,这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE, 或者在失败时返回FALSE。

452

2023.06.14

linux常见下载安装工具
linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容,可以阅读本专题下面的文章。

182

2023.10.30

硬盘接口类型介绍
硬盘接口类型介绍

硬盘接口类型有IDE、SATA、SCSI、Fibre Channel、USB、eSATA、mSATA、PCIe等等。详细介绍:1、IDE接口是一种并行接口,主要用于连接硬盘和光驱等设备,它主要有两种类型:ATA和ATAPI,IDE接口已经逐渐被SATA接口;2、SATA接口是一种串行接口,相较于IDE接口,它具有更高的传输速度、更低的功耗和更小的体积;3、SCSI接口等等。

1679

2023.10.19

PHP接口编写教程
PHP接口编写教程

本专题整合了PHP接口编写教程,阅读专题下面的文章了解更多详细内容。

506

2025.10.17

Golang 高级特性与最佳实践:提升代码艺术
Golang 高级特性与最佳实践:提升代码艺术

本专题深入剖析 Golang 的高级特性与工程级最佳实践,涵盖并发模型、内存管理、接口设计与错误处理策略。通过真实场景与代码对比,引导从“可运行”走向“高质量”,帮助构建高性能、可扩展、易维护的优雅 Go 代码体系。

0

2026.02.27

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.8万人学习

Git 教程
Git 教程

共21课时 | 3.9万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号