linux下隱藏自己的文件和進程是如何做到的?

最近公司的阿里雲機器遭遇挖礦程序兩次入侵,CPU 100%被挖礦程序佔用。第二次隱藏手段更高,ls -la 命令無法查看到該文件,ls -la 的結果列表會有一個空行,而 /usr/bin/xl2tpd 這個可執行文件確實存在,stat 可查看文件屬性。 ps top htop 等都無法查看到 CPU 佔用率最高的那個進程,只有 atop 才能看到。黑客是如何做到隱藏可執行文件和進程的?


可能系統 原來的命令 如 ls ,ps ,top , 都 被 換掉了,rootkit

你從一台正常的 同系統類型的主機 把 這幾個命令先copy到中毒的機器上,比如 /tmp/目錄 下,

執行 /tmp/ls , /tmp/top 看能不能看到。如果不能,估計改的東西比較多,可能需要重裝,

最後,看評論


有一種黑科技叫做preload,可以用自定義一個shared lib來覆蓋掉libc里的方法。

用並不複雜的代碼就可以達到隱藏進程的目的,題主可以參考一下。

Sysdig | Hiding Linux Processes For Fun And Profit


我些天我還看到有人搞了個 hide 系統調用來隱藏進程的說。不過他是要做蜜罐不是用來幹壞事的。

就描述,可能性太多了啦。不過 ls 出現異常,說明這傢伙的功力明顯不夠啊。不過我沒用過阿里雲,不知道有沒有內核級許可權。

要看文件的話你可以把整個文件系統複製到其它機器上,然後用 debugfs 之類的工具看看。


查了一下,主要有三種做法:替換ps/ls等binary file,劫持libc函數,劫持系統調用。根據題意,劫持libc函數可能性最大。


你用阿里雲也能被黑?

還有直接快照回滾不就好了。

比起找出問題程序,去找怎麼被黑的不是更重要?


您好 樓主這個問題解決了嗎 我這個伺服器也是同樣感染了這個病毒 不知道怎麼 kill了 又自動起來了 /usr/bin/xl2tpd


如果你確認你的這幾個程序沒問題(沒被替換過),並且ldpreload也沒被改,並且path沒問題,那麼應該是內核隱藏了(可以通過proc文件系統確認)。用taskverse工具可以看到。或者自己對比下proc/kallsums和systemmap的不同,lsmod看一下模塊。


https://github.com/jingchunzhang/backdoor_rootkit

樓上有位說得對,這個是應用態的rk,內核態的rk隱藏了進程,你用atop也看不到


我當時也碰到了。後來發現是安裝了一個偽裝服務來保證啟動。你可以先對那個文件進行降權。來保證無法啟動。然後再慢慢找出解決辦法。我那是是因為redis沒有設置密碼。多多注意。先不要想著清除。先搞定怎麼攻破的,這樣防止二次攻破之後,再去慢慢研究怎麼刪除。

手機打字,以上僅供參考。


我也遇到問題,怎麼解決,在線等,急


stat /usr/bin/top啥的應該能看到top這類文件可能被修改或者替換過


推薦閱讀:

如何理解Linux中的OOM(Out Of Memory Killer)機制?
關於Linux的兩個問題?
linux下沒有root許可權如何方便地安裝軟體?
現在的 Linux 內核和 Linux 2.6 的內核有多大區別?
Linux 管理員在 Windows 系統下使用什麼 SSH 客戶端?

TAG:Linux | Linux系統管理 | CC | 網路攻防 | Linux運維 |