Så här upptäcker du dolda Linux-processer med Unhide
Medan GNU / Linux är ett extremt säkert operativsystem, blir många lockade till en falsk känsla av säkerhet. De har fel idé att ingenting någonsin kan hända för att de arbetar från en säker miljö. Det är sant att väldigt lite skadlig kod finns för Linux-miljön, men det är fortfarande mycket möjligt att en Linux-installation i slutändan kan äventyras. Om inget annat, överväger möjligheten att rootkits och andra liknande attacker vara en viktig del av systemadministrationen. En rootkit avser en uppsättning verktyg en tredje part användare efter att de får tillgång till ett datorsystem som de inte har rätt till. Denna sats kan sedan användas för att modifiera filer utan kunskap om rättmätiga användare. Unhide-paketet ger den teknik som behövs för att snabbt hitta sådan kompromisserad programvara.
Unhide finns i repositories för de flesta av de stora Linux-distributionerna. Användning av ett pakethanterarkommando som sudo apt-get install unhide är tillräckligt för att tvinga det att installera på smaker av Debian och Ubuntu. Servrar med GUI-åtkomst kan använda Synaptic Package Manager. Fedora och Arch-distributionerna har förbyggda versioner av unhide för sina egna pakethanteringssystem. När unhide är installerat ska systemadministratörer kunna använda det på flera olika sätt.
Metod 1: Bruteforcing Process IDs
Den mest grundläggande tekniken innebär att varje process ID måste bruteforceras för att säkerställa att ingen av dem har blivit dolda från användaren. Om du inte har root-åtkomst skriver du sudo i bruten -d vid CLI-prompten. Alternativet d dubblar testet för att minska antalet felaktiga rapporter.
Utgången är extremt grundläggande. Efter ett upphovsrättsmeddelande förklarar unhide de kontroller som den utför. Det kommer att finnas en rad som anger:
[*] Startskanning med brute force mot PIDS med gaffel ()och en annan som säger:
[*] Startskanning med brute force mot PIDS med pthread funktionerOm det inte finns någon annan utgång, är det ingen anledning till oro. Om programmets brutna subrutin hittar någonting, kommer det att rapportera något som:
Hittade HIDDEN PID: 0000
De fyra nollorna skulle ersättas med ett giltigt nummer. Om det bara säger att det är en övergångs process, kan det här vara en falsk positiv. Kör testet flera gånger tills det ger ett rent resultat. Om det finns ytterligare information, kan det motivera en uppföljningskontroll. Om du behöver en logg kan du använda -f-omkopplaren för att skapa en loggfil i den aktuella katalogen. Nyare versioner av programmet kallar den här filen unhide-linux.log, och den innehåller ren textutskrift.
Metod 2: Jämförande / proc och / bin / ps
Du kan istället rikta dig för att jämföra / bin / ps och / proc-processlistorna för att säkerställa att dessa två separata listor i Unix-filträdet matchar. Om det är något fel, så rapporterar programmet det ovanliga PID. Unix-regler anger att löpande processer måste presentera ID-nummer i dessa två listor. Skriv sudo unhide proc -v för att starta testet. Tack vare v läggs programmet i verbalt läge.
Denna metod kommer att returnera en snabb angivande:
[*] Söker efter Dolda processer genom / proc stat skanningOm något ovanligt förekommer skulle det förekomma efter denna textrad.
Metod 3: Kombinera Proc- och Procfs-teknikerna
Om det behövs kan du faktiskt jämföra / bin / ps och / proc Unix-filträslistorna samtidigt som du jämför också all information från listan / bin / ps-listan med virtuella procfs-poster. Detta kontrollerar både Unix-filträdreglerna och procfs-data. Skriv sudo unhide procall -v för att utföra detta test, vilket kan ta ganska lång tid eftersom det måste skanna alla / proc-statistik samt göra flera andra test. Det är ett utmärkt sätt att se till att allt på en server är copasetiskt.
PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka härMetod 4: Jämför proffsresultat med / bin / ps
De tidigare testerna är alltför inblandade för de flesta applikationer, men du kan köra proc-filsystemet kontroller självständigt för viss expedience. Skriv sudo unhide procfs -m, som kommer att utföra dessa kontroller plus flera fler kontroller som tillhandahålls genom att tacka på -m.
Detta är fortfarande ett ganska inblandat test, och kan ta en stund. Den returnerar tre separata produktionslinjer:
Tänk på att du kan skapa en fullständig logg med någon av dessa tester genom att lägga till -f till kommandot.
Metod 5: Kör en snabbsökning
Om du bara behöver köra en snabbsökning utan att göra dig själv med fördjupade kontroller, skriv bara sudo unhide quick, som ska springa så snabbt som namnet antyder. Denna teknik skannar proc listor samt proc filsystemet. Det kör också en kontroll som innebär att jämföra information som samlats in från / bin / ps med information som tillhandahålls av samtal till systemresurser. Detta ger en enda produktionslinje, men ökar risken för falska positioner. Det är användbart att dubbelkontrollera efter att ha granskat tidigare resultat.
Utgången är enligt följande:
[*] Söka efter Dolda processer genom jämförelse av resultaten av systemsamtal, proc, dir och psDet kan hända att flera övergående processer kommer upp efter att ha kört den här skanningen.
Metod 6: Köra en omvänd scanning
En utmärkt teknik för sniffing out rootkits innebär att alla ps-tråder kontrolleras. Om du kör PS-kommandot vid en CLI-prompten kan du se en lista över kommando kör från en terminal. Omvänd scanning verifierar att var och en av processorn tränger som ps bilder uppvisar giltiga systemsamtal och kan letas upp i profs-noteringen. Detta är ett utmärkt sätt att se till att en rootkit inte har avlivat något. Skriv bara sudo unhide reverse för att köra den här kontrollen. Det ska springa extremt snabbt. När det körs, bör programmet meddela dig att det letar efter falska processer.
Metod 7: Jämför / bin / ps med systemsamtal
Slutligen innebär den mest omfattande kontrollen att jämföra all information från listan / bin / ps med information från giltiga systemsamtal. Skriv sudo unhide sys för att starta detta test. Det kommer sannolikt att ta längre tid att springa än de andra. Eftersom det ger så många olika produktionslinjer, kanske du vill använda kommandot -f log-to-file för att göra det lättare att se tillbaka genom allt som hittades.
PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här