『Linux』如何判断Linux系统是否被黑客入侵？可以用这种方法( 二 ) 黑客|恶意软件|网络安全|操作系统

如果您在此区域下看到任何内容，并且该过程周围有 [brackets
，则可能是恶意的并试图隐藏。
如果需要，可以运行此命令以快速遍历所有系统PID ，并查看哪些带有方括号的名称，但具有映射文件。通常，您在这里什么也看不到。任何显示数据的信息都应进一步调查。
ps auxww | grep \\\\[ | awk '{print $2' | xargs -I % sh -c 'echo PID: %; cat /proc/%/maps' 2> /dev/null
如果发现了什么，此命令将输出以下图像。
图5 —查找伪装成脚本的Linux内核
在/ proc / <PID> / maps列表中，您将看到一些路径来研究二进制文件在哪里链接到其自身或所使用的库。在上面，我们看到了/ tmp / [kworkerd
路径，这是要调查的高优先级位置。您还可能会看到可疑的库，对隐藏目录的引用等。仔细看看，确保您不会错过任何东西！
伪装加密的伪装Linux内核线程
揭露伪装的Linux内核线程的另一种方法是查看它是否显示与正在运行的进程关联的二进制文件。基本上，您仅使用我们讨论的关于恢复已删除的恶意二进制文件的技术，但是请查看是否可以获得SHA1 。如果您返回了，那么这是试图隐藏的正常过程，而不是内核线程。真正的内核线程不会链接到启动它们的二进制文件。
如果仅查看/ proc / <PID> / exe ，则可以快速复制Linux上的进程二进制文件。您可以将此文件复制到新位置，并具有启动该过程的二进制文件的即时快照。您还可以使用此链接获取即时值，以检查已知恶意软件的数据库。真正的内核线程将无法获得此数据，只有冒名顶替者会提供。
在我们的案例中，我们将使用此知识来调查可疑的PID 2121 ，如下所示：
sha1sum / proc / 2121 / exe
图6 —获得Linux内核伪装攻击的SHA1
让我们恢复二进制并将其复制到某个地方，以便可以离线分析它。使用下面的命令，我们将复制到/ tmp / suspicious_bin 。现在，我们拥有自己的副本，以防恶意软件试图自卫地删除自身：
cp / proc / 2121 / exe / tmp / suspicious_bin
图7 —恢复可疑的Linux恶意软件二进制文件
如果要自动搜寻PID并获取冒名顶替者的SHA1 attack ，可以运行以下命令：
ps auxww | grep \\\\[ | awk '{print $2' | xargs -I % sh -c 'echo PID: %; sha1sum /proc/%/exe' 2> /dev/null
上面的命令将尝试获取所有带有[花括号
的进程的SHA1 任何返回值的可能都是骗子：
图8-伪装Linux内核线程的SHA1的脚本输出
【『Linux』如何判断Linux系统是否被黑客入侵？可以用这种方法】现在，您有两种使用Linux命令行的可靠方法来调查试图伪装成内核线程的可疑进程。看完这篇文章后，你应该知道如何判断Linux系统是否被黑客入侵了吧？（欢迎转载分享）