linux恶意进程检测,Linux服务器下的恶意进程检测方法与流程

最新推荐文章于 2024-05-27 11:13:59 发布
最新推荐文章于 2024-05-27 11:13:59 发布
阅读量1.2k 收藏 2
点赞数
文章标签: linux恶意进程检测

技术特征:

1.linux服务器下的恶意进程检测方法,其特征在于:包括以下步骤:

1)、选择需要检测的服务器;

2)、获取所有服务器中的进程信息;

3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;

4)、将进程信息与白名单进行匹配对比,得到判断结果;

5)、将判断结果后进行反馈处理。

2.根据权利要求1所述的linux服务器下的恶意进程检测方法,其特征在于:

步骤2获取的信息包括进程名、进程pid、进程所属用户、进程路径、进程占用cpu、进程占用内存、启动时执行信息、进程主要调用信息、特殊唯一性判断信息。

3.根据权利要求2所述的linux服务器下的恶意进程检测方法,其特征在于:

特殊唯一性判断信息为该进程在运行中携带的参数/创建的特殊文件。

4.根据权利要求3所述的linux服务器下的恶意进程检测方法,其特征在于:

步骤2具体获取进程信息通过收集/proc/目录及ps等常用命令获取。

5.根据权利要求4所述的linux服务器下的恶意进程检测方法,其特征在于:

步骤3包括:

3.1)、判断进程信息的进程名是否在所有服务器中皆出现,若进程名皆存在,执行步骤3.2;

3.2)、判断该进程信息在不同服务器的进程名/pid/所属用户/进程路径是否一致,若一致;执行步骤3.3;

3.3)、若该进程信息拥有特殊唯一性判断信息,作为共有进程,执行步骤3.4;

3.4)、根据共有进程生成共有进程列表,进程信息的非共有进程作为单一进程。

6.根据权利要求5所述的linux服务器下的恶意进程检测方法,其特征在于:

在步骤4中:将进程信息与白名单进行匹配对比,得到未通过白名单的进程信息。

7.根据权利要求6所述的linux服务器下的恶意进程检测方法,其特征在于:

在步骤5中:服务器管理人员对未通过白名单的进程信息进行人工判断。

8.根据权利要求7所述的linux服务器下的恶意进程检测方法,其特征在于:

白名单包括:

一、通过步骤三生成的共有进程列表通过恶意进程检测后生成的进程白名单;

二、服务器管理人员手动添加的进程相关信息;

三、确认为正常进程的相关信息。

9.根据权利要求8所述的linux服务器下的恶意进程检测方法,其特征在于:

恶意进程检测包括:

a、互联网上已知恶意进程信息;

b、各大安全厂商公开披露恶意进程相关信息;

c、其他渠道获取;

d、运行目录为/tmp/下的进程。

weixin_39796116
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全国(山东、安徽)职业技能大赛--信息安全管理与评估大赛Linux应急响应
人若无名,便可专心练剑
12-28 502
保护数据,捍卫安全,展现技能,赢得荣耀!全国职业技能大赛-信息安全与评估大赛,挑战你的技术,揭示黑客的秘密!
【干货】Windows内存获取和分析---查找恶意进程,端口
12-17 691
来源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis 调查人员检查物理内存内容,以检测恶意进程、威胁和内存驻留恶意软件,以恢复密码和获取密钥。 伏笔:rootkit,root代表最高权限,kit表示软件。合起来,最高权限的软件。如果存在恶...
Linux排查异常进程
weixin_30394669的博客
03-05 6137
目录 查看当前登录用户 查看进程 查看所有进程 PS 查看进程树 pstree 系统进程管理器 top 查看后台进程 jobs 把进程放入后台的方法 终止进程 杀死单一进程 kill ...
Linux应急响应思路和技巧:进程分析篇
最新发布
WangsuSecurity的博客
05-27 793
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
python 检测白名单外的非法进程进程树和链接信息
云中不知人的专栏
08-22 1026
之前服务器被hacker留下后门,会在服务器起脚本与hacker的机器进行连接发送信息,后面在处理完后加防时写了个检测非法进程的脚本 一般来说,自己的服务器上的进程是固定的,而且在这里只是检查有网络活动的进程 1、进程白名单 首先拟定了针对自己服务器进程的白名单文件pro_white,内容如下: sshd mysqld zabbix_agentd /usr/sbin/sshd cupsd
linux恶意进程检测,检测Linux服务器恶意感染病毒Linux.Xor.DDoS
weixin_30990821的博客
04-29 440
前言最近Linux病毒有点狂,然后今天打算检测下生产环境的机器,前段时间架设了一台oracle rac专用的dns和ntp服务的机器,这台机器给整个机房的oracle rac提供内网dns和时钟同步,如果被搞死了,整个机房oracle集群挂了,接下来开始检测这台机器。检测用的工具1. Clamav2. Chkrootkit3. RKHunter4. AIDE检测的机器Dns及ntp生产服务器系统环...
2023年中职组网络空间安全技能大赛——Linux渗透
m0_57472099的博客
04-07 232
3. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Linux 进行渗透测试,将该场 景/var/www/html 目录中唯一一个后缀为.html 文件的文件内容作为 FLAG 提交;4. 通过本地 PC 中渗透测试平台 Kali 对服务器场景 Linux 进行渗透测试,将该场 景/root 目录中唯一一个后缀为.bmp 文件的文件名称作为 FLAG 提交;
Linux进程编程-详细讲解.pptx
11-15
进程编程是 Linux 编程中的一种重要技术,广泛应用于服务器端编程、嵌入式系统开发等领域。 Linux 进程介绍 进程是指允许启动的程序,即应用程序的运行实例。进程这个概念是针对系统而不是针对用户的,对用户来...
Linux进程网络流量统计的实现过程
01-10
在某些应用安全场景需要结合进程网络连接、流入流出流量等数据可分析出是否在内网存在恶意外传敏感数据现象在网络监控 时发现 服务器大量带宽被占用但不清楚由系统具体哪个进程占用 。为此都需要获取到更细粒度的...
Linux下查看端口占用进程号,程序名的方法
09-15
本文将详细介绍如何在Linux环境下查看端口占用的进程号和程序名,以便进行故障排查。 1. **使用`lsof`命令查看端口占用** `lsof`(List Open Files)是一个强大的工具,它可以显示当前打开的文件和网络连接信息。...
Linux中实现进程隐藏的一种新方法.pdf
09-06
Linux进程隐藏新方法概述】 ...这种方法对于提升Linux系统的安全性,尤其是对于服务器环境中的进程保护,具有重要意义。未来的研究可能会进一步优化这种方法,以适应不断变化的安全威胁和需求。
linux配置ntp服务器方法
09-15
- `nopeer`:阻止主机尝试与服务器对等,防止恶意服务器控制时钟。 - `kod`:当访问违规时,向客户端发送Keep-Off-or-Die (KoD)包作为警告。 **三、配置NTP服务器** NTP服务器的核心配置文件是`/etc/ntp.conf`。...
应急响应篇-Linux 进程排查及服务排查
cavathon的博客
03-17 454
linux中使用netstat和一些系统命令进行服务排查。如果发现有进程存在恶意外链的情况,可以通过。命令,可以列出所有服务单元文件及其状态。有时攻击者会将进程隐藏,按照顺序执行。netstat的常用参数有。如果是恶意进程,可以通过。来查看对应的可执行程序。来查看进程所打开文件。
linux 进程异常,一种Linux系统下实时监控进程异常的方法及装置与流程
weixin_35935712的博客
04-28 411
本发明涉及数据通信领域,具体涉及一种Linux系统下实时监控进程异常的方法及装置。背景技术:目前,大多数的进程监控系统,都是被监控进程主动发起的信号,然后监控进程根据不同的信号做出不同的动作,因此,监控进程属于被动接受;由此而生的就容易出现一个问题,如果被监控进程出现死循环或者其它异常现象,导致通信阻塞,被监控进程不能发出信号,监控进程不能及时做出响应,导致系统出现异常。技术实现要素:本发明的目的...
应急响应-进程排查
懂进攻知防守
11-20 1387
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
遭遇疑似网络攻击时服务器异常情况排查方法
shuyan1115的博客
06-21 2096
方法主要用于发生网信安全异常情况时的异常设备信息提取和登机排查指导,主要包括主机类设备,linux和windows操作系统为主。
linux查看恶意进程,在Mac Linux上如何快速判断一个文件是否是恶意程序?
weixin_36201438的博客
04-29 661
*本文作者:GeekOnline,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。熟悉Mac/Linux的用户经常会使用命令行,如果遇到系统异常,如CPU使用率暴涨等,经常会使用top命令去定位到底是哪个程序出现了异常。找到相关程序后,由于许多用户自身没有安全背景或者不大懂得逆向,便无法去分析程序到底做了什么,不敢枉然kill掉程序。又如果文件夹下面无故多了非自己创建的程序,这时也不敢枉然...
动态恶意软件分析工具介绍
myguaicai的博客
11-08 1649
动态恶意软件分析工具介绍 网络安全观察者 在本教程中,我们将介绍动态恶意软件分析工具,用于了解恶意软件执行后的行为。本教程是我们恶意软件分析教程中的第2部分。如果您尚未阅读本系列的第1部分,请先阅读本系列教程1,然后再继续这一篇。 在本教程中,我们将介绍用于在虚拟机中执行恶意软件后分析活动的动态恶意软件分析工具。我们将分别介绍Procmon,Process Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具来进行恶意软件的分析。动态恶意软件分析
Linux 入*侵分析(一)如何找到恶意进程和文件?
weixin_34203426的博客
05-08 4496
1.检查CPU内存 top按大写的“P”键将内容按CPU占用率排序,查看占用率高的进程和PID 2.netstat主机内查看网络连接情况 netstat -anp netstat –antlp netstat -anltp | more netstat -tunpl netstat -antlp | grep -v -e nginx -e "140.205" -e "192.168.0....
Linux系统基础命令.docx
09-27
linux常用的命令+适合刚刚接触linux系统的人

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值