执行如下命令:
[root@server ~]# pidof sshd 13276 12942 4284
然后进入内存目录 , 查看对应 PID 目录下 exe 文件的信息:
[root@server ~]# ls -al /proc/13276/exelrwxrwxrwx 1 root root 0 Oct4 22:09 /proc/13276/exe -> /usr/sbin/sshd
这样就找到了进程对应的完整执行路径 。如果还要查看文件的句柄 , 可以查看如下目录:
[root@server~]#ls-al/proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息 。
⑤检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法 , 例如可以检查被入侵服务器上 /bin/ls 文件的大小是否与正常系统上此文件的大小相同 , 以验证文件是否被替换 , 但是这种方法比较低级 。
此时可以借助于 Linux 下 rpm 这个工具来完成验证 , 操作如下:
[root@server ~]# rpm -Va ....L...c /etc/pam.d/system-auth S.5.....c /etc/security/limits.conf S.5....Tc /etc/sysctl.conf S.5....T/etc/sgml/docbook-simple.cat S.5....Tc /etc/login.defs S.5.....c /etc/openldap/ldap.conf S.5....Tc /etc/sudoers
⑥重新安装系统恢复数据
很多情况下 , 被攻击过的系统已经不再可信任 , 因此 , 最好的方法是将服务器上面数据进行备份 , 然后重新安装系统 , 最后再恢复数据即可 。
数据恢复完成 , 马上对系统做上面介绍的安全加固策略 , 保证系统安全 。
推荐阅读
- 如何成为一名黑客
- 解读茶叶成分对人体健康之利
- 百年安化黑茶禁碑,茶碑解读
- 教风与学风 校训解读
- 聚焦农残,从专家的茶文化中解读食品安全问题
- 生普洱茶存放,好普洱茶都讲究要干仓存放
- 最经典的黑客技术入门知识大全
- 我的天,内网渗透,大黑客是这样进行操作的
- 有关汽车指示灯的正确解读
- 专家解读,合格的普洱茶 不含黄曲霉素