版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_33020901/article/details/82894353
1. 偷换系统二进制文件( ps , top 等)
防范: 比对hash;系统完整性检查工具,比如tripwrie、aide等
2. 修改hook调用函数 (修改命令返回结果,原函数getdents)
防范: sysdig(开源),检测LD_PRELOAD环境变量是否有异常,ld.so.preload文件异常(时间,大小)
3. 修改进程名字
防范: /proc目录,查看exe的指向(ls -al xxxx) 略麻烦啊 ...
4. 统称 rootkit 吧 ......
防范: 查看lsmod是否有新内核模块加入等,不太会 :( ......
痕迹清理
1. 退出前 history -c
2. 多使用sftp吧 0.0
3. web日志删除一些
4. 用户目录下很多 history,一言不合就是删 :)
4. btmp wtmp 这些应该删,但是我用不着删 :)