UNIX应急响应攻略

dn001 2009-06-19 00:42:11

　　================

　　查看系统进程列表

　　================

　　Solaris中使用ps –eaf,而在FreeBSD和Linux中则使用ps –aux.

　　[root@ay4z3ro foo]# ps aux

　　USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

　　root 1 0.1 0.2 1356 496 ? S 19:07 0:04 init

　　root 2 0.0 0.0 0 0 ? SW 19:07 0:00 [keventd]

　　root 3 0.0 0.0 0 0 ? SWN 19:07 0:00 [ksoftirqd_CPU0]

　　root 4 0.0 0.0 0 0 ? SW 19:07 0:00 [kswapd]

　　root 5 0.0 0.0 0 0 ? SW 19:07 0:00 [bdflush]

　　root 6 0.0 0.0 0 0 ? SW 19:07 0:00 [kupdated]

　　root 7 0.0 0.0 0 0 ? SW< 19:07 0:00 [mdrecoveryd]

　　root 11 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

　　root 114 0.0 0.5 2108 1304 ? S 19:07 0:00 devfsd /dev

　　root 209 0.0 0.0 0 0 ? SW 19:07 0:00 [khubd]

　　root 338 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

　　rpc 620 0.0 0.2 1496 520 ? S 19:07 0:00 [portmap]

　　root 636 0.0 0.2 1452 624 ? S 19:07 0:00 syslogd -m 0

　　…………………（以下省略）

　　Ps命令输出中的START字段显示了程序开始运行的时间，对于查出攻击时间很有帮助。有时仅通过时间就能识别可疑进程。

　　Linux下还可以通过strings –f /proc/[0-9]*/cmdline来查看系统中运行进程的完整命令行参数，但是这个并不完全可信。

　　因为攻击者甚至不需要插入内核模块，而只在应用层的编码中加入语句就能欺骗我们。

　　===============

　　检测LKM Rootkit

　　===============

标签：