linux下隱藏自己的文件和進程是如何做到的？

12-31

最近公司的阿里雲機器遭遇挖礦程序兩次入侵，CPU 100%被挖礦程序佔用。第二次隱藏手段更高，ls -la 命令無法查看到該文件，ls -la 的結果列表會有一個空行，而 /usr/bin/xl2tpd 這個可執行文件確實存在，stat 可查看文件屬性。 ps top htop 等都無法查看到 CPU 佔用率最高的那個進程，只有 atop 才能看到。黑客是如何做到隱藏可執行文件和進程的？

可能系統原來的命令如 ls ,ps ,top , 都被換掉了，rootkit

你從一台正常的同系統類型的主機把這幾個命令先copy到中毒的機器上，比如 /tmp/目錄下，

執行 /tmp/ls , /tmp/top 看能不能看到。如果不能，估計改的東西比較多，可能需要重裝，

最後，看評論

有一種黑科技叫做preload，可以用自定義一個shared lib來覆蓋掉libc里的方法。

用並不複雜的代碼就可以達到隱藏進程的目的，題主可以參考一下。

Sysdig | Hiding Linux Processes For Fun And Profit

我些天我還看到有人搞了個 hide 系統調用來隱藏進程的說。不過他是要做蜜罐不是用來幹壞事的。

就描述，可能性太多了啦。不過 ls 出現異常，說明這傢伙的功力明顯不夠啊。不過我沒用過阿里雲，不知道有沒有內核級許可權。

要看文件的話你可以把整個文件系統複製到其它機器上，然後用 debugfs 之類的工具看看。

查了一下，主要有三種做法：替換ps/ls等binary file，劫持libc函數，劫持系統調用。根據題意，劫持libc函數可能性最大。

你用阿里雲也能被黑？

還有直接快照回滾不就好了。

比起找出問題程序，去找怎麼被黑的不是更重要？

您好樓主這個問題解決了嗎我這個伺服器也是同樣感染了這個病毒不知道怎麼 kill了又自動起來了 /usr/bin/xl2tpd

如果你確認你的這幾個程序沒問題(沒被替換過)，並且ldpreload也沒被改，並且path沒問題，那麼應該是內核隱藏了(可以通過proc文件系統確認)。用taskverse工具可以看到。或者自己對比下proc/kallsums和systemmap的不同，lsmod看一下模塊。

https://github.com/jingchunzhang/backdoor_rootkit

樓上有位說得對，這個是應用態的rk，內核態的rk隱藏了進程，你用atop也看不到

我當時也碰到了。後來發現是安裝了一個偽裝服務來保證啟動。你可以先對那個文件進行降權。來保證無法啟動。然後再慢慢找出解決辦法。我那是是因為redis沒有設置密碼。多多注意。先不要想著清除。先搞定怎麼攻破的，這樣防止二次攻破之後，再去慢慢研究怎麼刪除。

手機打字，以上僅供參考。

我也遇到問題，怎麼解決，在線等，急

stat /usr/bin/top啥的應該能看到top這類文件可能被修改或者替換過