本篇內(nèi)容介紹了“Linux命令被劫持了怎么辦”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

成都創(chuàng)新互聯(lián)公司專注于盤龍網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供盤龍營銷型網(wǎng)站建設，盤龍網(wǎng)站制作、盤龍網(wǎng)頁設計、盤龍網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務，打造盤龍網(wǎng)絡公司原創(chuàng)品牌,更為您提供盤龍網(wǎng)站排名全網(wǎng)營銷落地服務。

在一些應急場景中，我們經(jīng)常會遇到有些木馬會替換常用的系統(tǒng)命令進行偽裝，即使我們清理了木馬，執(zhí)行ps、netstat等系統(tǒng)命令時又啟動了木馬進程。

這種手法相對比較隱蔽，排查起來也比較困難，本文分享兩種比較簡單的排查技巧。

1、AIDE 入侵檢測

AIDE  是一款入侵檢測工具，主要用途是檢查文檔的完整性。通過構(gòu)建一個基準的數(shù)據(jù)庫，保存文檔的各種屬性，一旦系統(tǒng)被入侵，可以通過對比基準數(shù)據(jù)庫而獲取文件變更記錄。

(1)aide安裝配置

#直接安裝aide yum install aide -y #生產(chǎn)初始化數(shù)據(jù)庫 sudo aide --init #根據(jù)配置文件命名規(guī)則生成新的數(shù)據(jù)庫文件，需要重命名，以便AIDE讀取。 sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

(2)進行檢測對比

sudo aide --check

如上，通過對比可以快速發(fā)現(xiàn)系統(tǒng)命令PS被篡改。

2、RPM 檢查

通過rpm -Va來檢查已安裝的rpm包的完整性，防止rpm也被替換，可上傳一個安全干凈穩(wěn)定版本的rpm二進制文件到服務器上進行檢查。

如果一切均校驗正常將不會產(chǎn)生任何輸出，如果有不一致的地方，就會顯示出來，輸出格式是8位長字符串，每個字符都用以表示文件與RPM數(shù)據(jù)庫中一種屬性的比較結(jié)果  ，如果是. (點) 則表示測試通過。

驗證內(nèi)容中的8個信息的具體內(nèi)容如下：

S         文件大小是否改變 M         文件的類型或文件的權(quán)限（rwx）是否被改變 5         文件MD5校驗是否改變（可以看成文件內(nèi)容是否改變） D         設備中，從代碼是否改變 L         文件路徑是否改變 U         文件的屬主（所有者）是否改變 G         文件的屬組是否改變 T         文件的修改時間是否改變

如上，ps命令左側(cè)顯示T，代表這個系統(tǒng)文件的修改時間被改變。

“Linux命令被劫持了怎么辦”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

文章名稱：Linux命令被劫持了怎么辦
文章地址：http://www.chinadenli.net/article42/pgchhc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站排名、品牌網(wǎng)站制作、域名注冊、網(wǎng)站導航、網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)