本文转载自微信公众号「绕过」bypass。转载本文请联系旁路公众号。在一些紧急场景中,我们经常会遇到一些木马程序将常用的系统命令替换掉进行伪装。即使我们清理了木马,在执行ps、netstat等系统命令时,木马进程又被启动了。这种方法比较隐蔽,比较难查。本文分享两种比较简单的调查技巧。1.AIDE入侵检测AIDE是一种入侵检测工具,主要目的是检查文件的完整性。通过建立基准数据库,保存文档的各种属性,一旦系统被入侵,通过基准数据库的对比,可以得到文件的变化记录。(1)aide安装配置#直接安装aideyuminstallaide-y#生产初始化数据库sudoaide--init#根据配置文件的命名规则生成一个新的数据库文件,需要重命名以便AIDE读取。sudomv/var/lib/aide/aide.db.new.gz/var/lib/aide/aide.db.gz(2)进行检测比较sudoaide--check同上,通过比较可以快速发现系统命令PS已被篡改。2、RPM检查使用rpm-Va检查安装的rpm包的完整性,防止rpm被替换。您可以将安全、干净和稳定版本的rpm二进制文件上传到服务器以供检查。如果一切都验证正常,则不会生成任何输出。如果有任何不一致,它会被显示出来。输出格式为8位长字符串,每个字符用于表示文件与RPM数据库中的一个属性的比较。结果,如果它是一个.(点),表示测试通过。验证内容中8条信息的具体内容如下:S文件大小是否发生变化。文件的类型或文件的权限(rwx)是否已更改。是否从代码更改L文件的路径是否更改U文件的属主(owner)是否更改G文件的组是否更改T文件的修改时间如上,T显示在ps命令的左边,代表这个系统文件的修改时间被改变了。
