如何查看Linux隐藏进程并删除rootkit

如何查看Linux隐藏进程并删除rootkit

我刚刚安装了 OSSEC,它告诉我这个

Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.

这是我的实时服务器,我在上面托管了大约 20 个网站。

我怎样才能将其去除?它能造成多大的伤害?

答案1

每次运行 OSSEC 时,您都会看到该隐藏进程吗?如果您只看到一次,则可能是 OSSEC 从ps(比如说)获取信息和对照 /proc 检查信息之间存在延迟。在此期间,该进程可能已终止,从而引发您刚刚看到的警报。

答案2

安装并运行可能是一件好事亨特。如果这证实您已被入侵,那么您唯一现实的做法就是复制受入侵的服务器,以便稍后进行分析,然后从头开始重新安装并使用已知的良好备份进行恢复。

答案3

OSSEC 可能正在使用该unhide实用程序检查隐藏进程。此工具有时会产生误报。

您可以通过运行 unhide procunhide-linux26 proc64 位系统来检查自己。

相关内容