Inhaltsverzeichnis:
- Methode 1: Bruteforcing-Prozess-IDs
- Methode 2: Vergleichen von / proc und / bin / ps
- Methode 3: Kombinieren der Proc- und Procfs-Techniken
- Methode 4: Vergleichen der procfs-Ergebnisse mit / bin / ps
- Methode 5: Ausführen des Schnellscans
- Methode 6: Reverse Scan ausführen
- Methode 7: Vergleichen von / bin / ps mit Systemaufrufen
Video: So Decken Sie Versteckte Linux-Prozesse Mit Unhide Auf
2024 Autor: Kayla Nelson | [email protected]. Zuletzt bearbeitet: 2023-12-17 01:25
Während GNU / Linux ein extrem sicheres Betriebssystem ist, werden viele Menschen in ein falsches Sicherheitsgefühl gelockt. Sie haben die falsche Vorstellung, dass nichts jemals passieren kann, weil sie in einer sicheren Umgebung arbeiten. Es ist wahr, dass nur sehr wenig Malware für die Linux-Umgebung vorhanden ist, aber es ist immer noch sehr wahrscheinlich, dass die Linux-Installation letztendlich gefährdet wird. Wenn nichts anderes, ist die Berücksichtigung der Möglichkeit von Rootkits und ähnlichen Angriffen ein wichtiger Bestandteil der Systemadministration. Rootkit bezieht sich auf eine Reihe von Tools, die Benutzer von Drittanbietern erhalten, nachdem sie Zugriff auf ein Computersystem erhalten haben, auf das sie nicht zu Recht Zugriff haben. Dieses Kit kann dann verwendet werden, um Dateien ohne Wissen der rechtmäßigen Benutzer zu ändern. Das Paket zum Einblenden bietet die Technologie, die erforderlich ist, um solche kompromittierte Software schnell zu finden.
Unhide befindet sich in den Repositorys für die meisten wichtigen Linux-Distributionen. Die Verwendung eines Paketmanagerbefehls wie sudo apt-get install unhide reicht aus, um die Installation auf Debian- und Ubuntu-Versionen zu erzwingen. Server mit GUI-Zugriff können den Synaptic Package Manager verwenden. Fedorand Arch-Distributionen haben vorgefertigte Versionen von Unblide für ihre eigenen Paketverwaltungssysteme. Sobald das Einblenden installiert ist, sollten Systemadministratoren es auf verschiedene Arten verwenden können.
Methode 1: Bruteforcing-Prozess-IDs
Die grundlegendste Technik besteht darin, jede Prozess-ID brutal zu erzwingen, um sicherzustellen, dass keine davon für den Benutzer verborgen ist. Wenn Sie keinen Root-Zugriff haben, geben Sie an der CLI-Eingabeaufforderung sudo unhide brute -d ein. Die Option d verdoppelt den Test, um die Anzahl der gemeldeten Fehlalarme zu verringern.
Die Ausgabe ist äußerst einfach. Nach der Copyright-Meldung werden durch Einblenden die durchgeführten Überprüfungen erläutert. Es wird eine Zeile geben, die besagt:
[*] Starten des Scannens mit roher Gewalt gegen PIDS mit der Gabel ()
und eine andere Aussage:
[*] Starten des Scannens mit Brute Force gegen PIDS mit Pthread-Funktionen
Wenn keine andere Ausgabe vorhanden ist, besteht kein Grund zur Sorge. Wenn die Brute-Subroutine des Programms etwas findet, wird Folgendes gemeldet:
HIDDEN PID gefunden: 0000
Die vier Nullen würden durch eine gültige Nummer ersetzt. Wenn nur gelesen wird, dass es sich um einen vorübergehenden Prozess handelt, ist dies möglicherweise falsch positiv. Fühlen Sie sich frei, den Test mehrmals durchzuführen, bis er ein sauberes Ergebnis liefert. Wenn weitere Informationen vorliegen, ist möglicherweise eine Nachprüfung erforderlich. Wenn Sie ein Protokoll benötigen, können Sie mit der Option -f eine Protokolldatei im aktuellen Verzeichnis erstellen. Neuere Versionen des Programms rufen diese Datei unhide-linux.log auf und bieten eine Nur-Text-Ausgabe.
Methode 2: Vergleichen von / proc und / bin / ps
Sie können stattdessen das Einblenden anweisen, um die Prozesslisten / bin / ps und / proc zu vergleichen, um sicherzustellen, dass diese beiden separaten Listen im Unix-Dateibaum übereinstimmen. Wenn etwas schief läuft, meldet das Programm die ungewöhnliche PID. Unix-Regeln schreiben vor, dass laufende Prozesse ID-Nummern in diesen beiden Listen enthalten müssen. Geben Sie sudo unhide proc -v ein, um den Test zu starten. Durch Anheften von v wird das Programm in den ausführlichen Modus versetzt.
Diese Methode gibt eine Eingabeaufforderung zurück, die Folgendes angibt:
[*] Suche nach versteckten Prozessen durch / proc stat scannen
Sollte etwas Ungewöhnliches auftreten, wird es nach dieser Textzeile angezeigt.
Methode 3: Kombinieren der Proc- und Procfs-Techniken
Bei Bedarf können Sie die Unix-Dateibaumlisten / bin / ps und / proc tatsächlich vergleichen und gleichzeitig alle Informationen aus der Liste / bin / ps mit den virtuellen procfs-Einträgen vergleichen. Dadurch werden sowohl die Unix-Dateibaumregeln als auch die Procfs-Daten überprüft. Geben Sie sudo unhide procall -v ein, um diesen Test durchzuführen. Dies kann einige Zeit dauern, da alle / proc-Statistiken gescannt und mehrere andere Tests durchgeführt werden müssen. Dies ist eine hervorragende Möglichkeit, um sicherzustellen, dass alles auf dem Server kopasetisch ist.
Methode 4: Vergleichen der procfs-Ergebnisse mit / bin / ps
Die vorherigen Tests sind für die meisten Anwendungen zu aufwendig, aber Sie können die Proc-Dateisystemprüfungen aus Gründen der Zweckmäßigkeit unabhängig voneinander ausführen. Geben Sie sudo unhide procfs -m ein, um diese Überprüfungen sowie mehrere weitere Überprüfungen durchzuführen, die durch Anheften von -m bereitgestellt werden.
Dies ist immer noch ein ziemlich komplizierter Test und kann einen Moment dauern. Es werden drei separate Ausgabezeilen zurückgegeben:
Beachten Sie, dass Sie mit jedem dieser Tests ein vollständiges Protokoll erstellen können, indem Sie dem Befehl -f hinzufügen.
Methode 5: Ausführen des Schnellscans
Wenn Sie lediglich einen schnellen Scan ausführen müssen, ohne sich mit eingehenden Überprüfungen zu befassen, geben Sie einfach sudo unhide quick ein, das so schnell ausgeführt werden sollte, wie der Name vermuten lässt. Diese Technik scannt sowohl Proc-Listen als auch das Proc-Dateisystem. Außerdem wird eine Prüfung ausgeführt, bei der die aus / bin / ps gesammelten Informationen mit Informationen verglichen werden, die durch Aufrufe von Systemressourcen bereitgestellt werden. Dies bietet eine einzige Ausgabezeile, erhöht jedoch leider das Risiko von Fehlalarmen. Es ist nützlich, dies zu überprüfen, nachdem Sie bereits die vorherigen Ergebnisse überprüft haben.
Die Ausgabe ist wie folgt:
[*] Suche nach versteckten Prozessen durch Vergleich der Ergebnisse von Systemaufrufen, proc, dir und ps
Möglicherweise werden nach dem Ausführen dieses Scans mehrere vorübergehende Prozesse angezeigt.
Methode 6: Reverse Scan ausführen
Eine ausgezeichnete Technik zum Herausschnüffeln von Rootkits besteht in der Überprüfung aller ps-Threads. Wenn Sie den Befehl ps an der CLI-Eingabeaufforderung ausführen, wird eine Liste der vom Terminal ausgeführten Befehle angezeigt. Durch das umgekehrte Scannen wird überprüft, ob jeder der Prozessorthreads, für die ps-Images gültige Systemaufrufe aufweisen, in der Liste procfs nachgeschlagen werden kann. Dies ist eine großartige Möglichkeit, um sicherzustellen, dass das Rootkit nichts getötet hat. Geben Sie einfach sudo unhide reverse ein, um diese Prüfung durchzuführen. Es sollte extrem schnell laufen. Wenn es ausgeführt wird, sollte das Programm Sie benachrichtigen, dass es nach gefälschten Prozessen sucht.
Methode 7: Vergleichen von / bin / ps mit Systemaufrufen
Schließlich umfasst die umfassendste Prüfung den Vergleich aller Informationen aus der Liste / bin / ps mit Informationen aus gültigen Systemaufrufen. Geben Sie sudo unhide sys ein, um diesen Test zu starten. Die Ausführung wird höchstwahrscheinlich länger dauern als bei den anderen. Da es so viele verschiedene Ausgabezeilen bietet, können Sie den Befehl -f log-to-file verwenden, um das Zurückblicken auf alles, was gefunden wurde, zu vereinfachen.
Empfohlen:
So Schließen Sie Versteckte Eigenschaften Windows Unter Linux
Manchmal wird beim Öffnen des Eigenschaftenblatts eines Speichervolumes ein Teil des resultierenden Dialogfelds vom Bildschirm verdrängt. Gelegentlich bewegen Sie sich versehentlich
App-Forscher Findet Versteckte Snapchat- Und Amazon-Partnerschaft Mit Der Funktion "Kamerasuche"
Ishan Agarwal hat eine unveröffentlichte Funktion für die Snapchat-App entdeckt, mit der die reale Welt nach Produkten durchsucht werden kann, die bei Amazon gefunden wurden
Wie Finde Ich Versteckte Und Gefilterte Nachrichtenanfragen Auf Facebook?
Facebook ist ein Riese, wenn es um soziale Medien geht, und dies ist tatsächlich das soziale Netzwerk mit der weltweit größten Basis an aktiven Nutzern. Es ist
Berichten Zufolge Konnte Nvidia Nur Rund 7% Des RTX 3080-Bedarfs Bei Großen Online-Einzelhändlern Decken
Nach einer langen Phase von Lecks und Gerüchten kündigte Nvidia Anfang letzten Monats die Ampere-Serie von Grafikkarten an. Die RTX 3080 Grafikkarte zeigte
So Zeigen Sie Versteckte Dateien Auf Einem Mac An
Standardmäßig sind einige wichtige Dateien ausgeblendet, von denen der Mac weiß, dass sie vom Benutzer nicht benötigt werden. Dies geschieht, um zu vermeiden, dass ein Benutzer unbeabsichtigt verloren geht oder nicht