我刚刚安装了 OSSEC,它告诉我这个
Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.
这是我的实时服务器,我在上面托管了大约 20 个网站。
我怎样才能将其去除?它能造成多大的伤害?
答案1
每次运行 OSSEC 时,您都会看到该隐藏进程吗?如果您只看到一次,则可能是 OSSEC 从ps(比如说)获取信息和对照 /proc 检查信息之间存在延迟。在此期间,该进程可能已终止,从而引发您刚刚看到的警报。
答案2
安装并运行可能是一件好事亨特。如果这证实您已被入侵,那么您唯一现实的做法就是复制受入侵的服务器,以便稍后进行分析,然后从头开始重新安装并使用已知的良好备份进行恢复。
答案3
OSSEC 可能正在使用该unhide实用程序检查隐藏进程。此工具有时会产生误报。
您可以通过运行
unhide proc或unhide-linux26 proc64 位系统来检查自己。