Поиск скрытых процессов в linux

Открыл для себе простую утилиту для поиска скрытых процессов, оказалось актуально при поиске руткитов на сервере. Называется unhide. В centos ставится просто из epel репозитория. yum install unhide . Синтаксис простой unhide name_test , если необходимо записать вывод в файл ключ ‘-f’.

Ниже набор тестов:

Standard tests :

The brute technique consists of bruteforcing the all process IDs.
This technique is only available on Linux 2.6 kernels.

The proc technique consists of comparing /proc with the output of /bin/ps.

The procall technique combinates proc and procfs tests.
This technique is only available on Linux 2.6 kernels.

The procfs technique consists of comparing information gathered from /bin/ps with information gathered by walking in the procfs.
With -m option, this test makes more checks, see checkchdir test.
This technique is only available on Linux 2.6 kernels.

The quick technique combines the proc, procfs and sys techniques in a quick way. It’s about 20 times faster but may give more false positives.
This technique is only available on Linux 2.6 kernels.

The reverse technique consists of verifying that all threads seen by ps are also seen in procfs and by system calls. It is intended to verify that a rootkit has not killed a security tool (IDS or other) and make ps showing a fake process instead.
This technique is only available on Linux 2.6 kernels.

The sys technique consists of comparing information gathered from /bin/ps with information gathered from system calls.

Их обычно достаточно.

Так же с утилитой идет unhide-tcp — поиск скрытых tcp/upd портов.

Источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.