Linux 命令被劫持了

一些应急场景中，我们经常会遇到有些木马会替换常用的系统命令进行伪装，即使我们清理了木马，执行ps、netstat等系统命令时又启动了木马进程。

这种手法相对比较隐蔽，排查起来也比较困难，本文分享两种比较简单的排查技巧。

1、AIDE 入侵检测

AIDE 是一款入侵检测工具，主要用途是检查文档的完整性。通过构建一个基准的数据库，保存文档的各种属性，一旦系统被入侵，可以通过对比基准数据库而获取文件变更记录。

(1)aide安装配置上，通过对比可以快速发现系统命令PS被篡改。

2、RPM 检查

通过rpm -Va来检查已安装的rpm包的完整性，防止rpm也被替换，可上传一个安全干净稳定版本的rpm二进制文件到服务器上进行检查。

如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。

验证内容中的8个信息的具体内容如下：

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!