Linux进程隐藏问题————显示隐藏进程

最新推荐文章于 2024-04-17 15:24:18 发布
最新推荐文章于 2024-04-17 15:24:18 发布
阅读量9.1k 收藏 4
点赞数
分类专栏: 运维测试

阿里云云监控到有两台redis服务器CPU被某进程消耗400%cpu资源

01
02

系统查看Top 情况并未找到高消耗进程X7但CPU100%ni
03

Netstat 查找到了一些异常请求,初步判断出组件被提权入侵了

尝试查找异常进程X7关联的文件,排查还在/etc/hosts发现增加了如下异常映射,查看相关异常文件内容后进一步确定问题,挖矿程序~
05
06
04

 

Unhide工具扫描/proc后也看到了隐藏进程
07

挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/libjdk.so,开始top未查找到异常进程是由于该病毒涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的,所以一开始并未看到相关进程。

问题至此,先清理动态链接库
[root@redis01 ~]# cp /etc/ld.so.preload /etc/ld.so.preload.bak
[root@redis01 ~]# vi /etc/ld.so.preload
删除相关内容
[root@redis02 ~]# echo $LD_PRELOAD
结果为空

清理完成后,top已经可以看到之前隐藏进程
08

lsof进一步查看该进程打开了哪些相关文件,问题定位清楚了,直接删除相关病毒文件 ,清理相关进程,调整 /etc/hosts文件,cpu回归正常负载,细查crontab暂时未发现非正常任务,观察状态。

问题主要由于使用root启动了redis导致被爆提权而后引起这一系列的后果...静思前后,任重道远~

GeeLoong
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(渗透测试后期)Linux进程隐藏详解
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
Linux隐藏进程
无与伦比BLOG
03-09 5501
系统信息:内核为2.6.32, CentOSX86_64 由于不能修改内核源码,故需要引入劫持系统调用技术、Linux可卸载模块编程技术 示例程序 #include #include #include #include #include #include #include #include #include #define CALLOFF 100 //define
Linux进程隐藏的方法及其对抗
weixin_30765475的博客
12-13 206
零、背景 在应急响应中,经常碰到ps命令和top命令查不到恶意进程(异常进程)的情况,会对应急响应造成很大的影响。轻则浪费时间,重则排查不出问题,让黑客逍遥法外。所以这篇博客研究学习如何对抗linux进程隐藏的手段。 一、用户态隐藏 这是一类简单的隐藏方法,同时也是相对容易破解的方法。 1、命令替换 替换ps、top、ls等命令的文件,破解方法很简单,查看文件修改时间和HASH值,如果与...
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
记一次 Linux 隐藏进程排查
zhuisuiwoxin3的博客
04-17 671
某一客户环境,机器负载很高,但用户没有运行任务;但是top 、ps -ef查不到这些进程;3.systemctl list-units --type=service --all 排查确认运行的任务是否有些异常服务,5.将找到被修改的文件,chattr -ia 获取权限, rm -rf 删除掉文件。1.到/usr/bin/ 执行 ls -lt 确认最近修改的文件的修改时间。9.修改root 密码,重新生成公钥等,修改ssh 配置文件 进行加固。7.kill -9 掉相应的进程, 一般情况下,负载会降下来。
Linux当中如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 7924
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
Linux 隐藏进程
chi's blog
10-09 1254
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
【转】Linux进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 9532
Linux系统中进程隐藏的常见手法及侦测方法
大厂测试开发工程师面试基础——Linux命令
03-10
本文将对 Linux 命令进行详细的介绍,包括基本命令、目录命令、文件命令、进程命令、权限命令等。 一、基本命令 ### 1. ls 命令 ls 命令用于查看 Linux 文件夹包含的文件,并可以查看文件权限、文件夹权限、文件...
linux下2.6.32的rootkit,隐藏文件目录
10-09
在本主题中,我们聚焦于一个特定的Rootkit——enyelkm v1.1,它在Linux内核2.6.32版本下运行,用于隐藏文件和目录。 enyelkm v1.1 Rootkit的工作原理主要是利用内核级别的访问权限,篡改Linux内核的系统调用表(sys_...
linux命令大全——超级详细
10-29
1. `ls`:列出目录内容,常用选项 `-a` 显示所有文件(包括隐藏文件),`-l` 以详细模式显示。 2. `cd`:切换当前工作目录,如 `cd /home/user` 进入用户主目录。 3. `pwd`:显示当前工作目录。 4. `mkdir`:创建新...
论文研究-Linux下Ptrace()调用的安全分析.pdf
07-22
Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全...最后就病毒技术中的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术中的应用。
操作系统实验——Windows 控制台命令.docx
10-30
操作系统实验——Windows 控制台命令主要涉及Windows操作系统中与控制台相关的操作,包括命令行窗口的设置、系统配置、信息显示、系统管理以及任务管理。这些知识点是理解操作系统底层工作原理和进行日常维护的重要...
聊一聊Linux进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
win10驱动级-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 3006
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动,
利用Windows进程隐藏进行权限维持
Karka_的博客
12-31 1361
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。我们在计算机上的每个程序运行起来之后都可以被称作进程进程可以在任务管理器里面看见,如下所示。
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 5962
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
Linux 查找隐藏病毒程序
JHC_binge的博客
02-08 429
通过top命令监控无法查看隐藏的病毒程序
Linux进程隐藏】在Linux环境下添加系统调用实现进程隐藏
qq_51720181的博客
06-25 2832
linux下添加系统调用实现隐藏进程,保姆级教学
Linux——进程和计划任务管理
最新发布
05-29
Linux中,进程是一个正在执行的程序实例。每个进程都有一个唯一的PID(进程ID),用于在系统中识别该进程。可以使用多个命令(如ps、top等)来查看当前系统中运行的进程信息。同时,Linux还提供了一些工具和命令来管理进程,如kill命令用于终止一个进程,nice命令用于调整进程的优先级等。 计划任务是指在指定的时间点或时间间隔内自动执行指定的任务。在Linux中,常用的计划任务工具是crontab。通过编辑crontab文件,可以设置定时任务并指定执行的命令或脚本。crontab支持多种时间格式,可以实现较为灵活的定时任务管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值