linux 隐藏进程,centos查看进程命令
Linux系统上对其他用户隐藏进程的简单方法
我使用的是多用户系统,大部分的用户通过ssh客户端访问他们的资源。我如何(怎么样)避免泄露进程信息给他们?如何(怎么样)在Debian/Ubuntu/RHEL/CentOS linux服务器器上阻止/避免他们看到不属于他们的进程?对linux上的其他用户隐藏进程的方法
解决方法/方案:
如果你使用的linux kernel(内核)是3.2以上的版本(或者使用的RHEL/CentOS是6.5以上的版本),你就可以对其他用户隐藏进程。只有root用户可以看到所有的进程,而非root用户,只能看到属于自己的进程信息。你所需要做的仅仅是开启linux kernel加固选项"hidepid"来重新挂载/proc文件系统。
认识 hidepid选项
这个选项定义了我们想让非进程的所有者能看到多少这些进程信息。
hidepid的值代表的意义如下:
1. hidepid=0———默认的模式(经典模式),任何人都可以查看/proc/PID/*中的world-readable文件
解释:world-readable files:指linux中的我们把文件权限分成user,group和other三组,other又被叫做world。所以world-readables表示other这组有-r权限。
2. hidepid=1———表示用户不能进入/proc/下的,而只能进入属于自己的目录。所以一些敏感文件,如cmdline,sched*,status被保护起来了。当用户输入ps,top等命令,用户是看不到那些不属于自己的进程的!!不过还是能够看到/proc下的process IDs
3. hidepid=2———表示对hidepid=1的文件访问权限加强限制,这种设定下,/proc/PID/对于任何用户都是不可见的——哪怕是入侵到/proc目录下,也看不到process IDs。无论是否有部分守护进程是以提升的权限运行,是否有其他用户运行一些敏感程序,是否有其他用户运行任何程序等,这个参数的设定都使得入侵者收集系统运行进程信息变得更复杂,难度加大。
Linux kernel protection(linux内核保护):对linux上的其他用户隐藏进程的方法
输入下面的命令来设置hidepid选项的值,以重新挂在/proc
复制代码代码如下:# mount-o remount,rw,hidepid=2/proc
编辑/etc/fstab文件,在系统重启后依然按上面那样来挂在/proc:
复制代码代码如下:# vi/etc/fstab
将 proc挂载的那一行改成下面的样子:
复制代码代码如下:proc/proc proc defaults,hidepid=2 0 0
然后保存关闭文件。
接下来是演示“对linux上的其他用户隐藏进程的方法”是否有效
在这个例子中,我分别以dabu和root同时登陆vps,只需在xshell开连个窗口或者是直接在命令行下ssh命令登陆。这里假设我dabu和root已经同时登陆了,那么,此时hidepid=0是默认的。
先在root中打开一个a.txt文件
复制代码代码如下:#vi a.txt
不关闭文件,然后去dabu那进行操作,执行
复制代码代码如下:$ ps-ef
得到的结果又一条,如下:
复制代码代码如下:root 16601 12120 0 16:19 pts/1 00:00:00 vi a.txt
同样,执行:
复制代码代码如下:$top-bn1
也可以看到有一条root使用vi的进程:
复制代码代码如下:17512 root 20 0 3488 1420 1192 S 0.0 0.5 0:00.00 vi
上面两个结果都证明在hidepid=0(默认值)时,这个属于root用的进程可以被dabu看到。
接着,继续用root执行下面的命令:
复制代码代码如下:# mount-o remount,rw,hidepid=2/proc
再次用dabu执行下面的命令查看进程;
复制代码代码如下:$ ps-ef
返回结果中看不到刚才那条进程了,所有非dabu用户的都看不到了
至于top,htop之类的,更是看不到了
还有,如果你想ls/proc,会提示你不能进入。
gid=xxx的配合hidepid使用:
如果我们设置了hidepid=2,就使得只能root看到所有的进程信息,有的情况下,我们还希望某个管理组也可以看到所有进程信息。
假设我们这里这个组是admin组,它的gid是1001:我们可以讲/etc/fstab文件中的proc那行改成;
复制代码代码如下:proc/proc proc defaults,hidepid=2,gid=1001 0 0
或者是
复制代码代码如下:proc/proc proc defaults,hidepid=2,gid=admin 0 0
查看某个组的id,执行命令:
复制代码代码如下:#id组名
查看某个用户的id,执行命令:
复制代码代码如下:#id用户名
id命令的用法,自行help
聊一聊Linux下进程隐藏的常见手法及侦测手段
进程隐藏是恶意软件常用的躲避手段,本文将探讨Linux环境中常见的进程隐藏策略及检测方法。首先,进程隐藏可分为用户态和内核级两种方式。
用户态隐藏
1.1偷梁换柱:通过替换系统进程查看工具(如ps、top),使查看工具失效,隐藏进程。防护手段包括使用备份工具对比输出、检查文件hash值、部署完整性检查工具或入侵检查工具。
1.2 HooK系统调用:如ps等工具通过分析/proc文件系统获取进程信息,隐藏者劫持系统调用,如getdents或readdir。防护上,检查异常的LD_PRELOAD环境变量、监控动态库加载和直接读取/proc内容。
1.3伪造进程名:通过设置迷惑性进程名混淆检查。防护手段是检查exe指向和进程名真实性。
1.4挂载覆盖:通过mount—bind隐藏进程信息。防护上,检查mountinfo或/proc/mounts文件。
内核级修改
2.1劫持VFS文件系统:干扰/proc动态生成,使进程信息不可见。防护手段涉及内核检查和模块监控。
2.2劫持进程创建模块:内核级隐藏进程,难以检测。防护是检查内核改动和模块加载。
尽管本文只触及了进程隐藏的皮毛,但实际手段远不止这些。对于这些技术,持续学习和分享至关重要。如有更多经验和技巧,欢迎交流讨论。
参考来源
...github.com/hschen0712/p...
...tcspecial.iteye.com/blo...
...techweb.com.cn/network/...
...jb51.net/LINUXjishu/347...
...blog.chinaunix.net/uid-...
...voidcn.com/article/p-yf...
...unix.stackexchange.com/...
...stackoverflow.com/quest...
...phrack.org/issues/63/18...
linux下如何隐藏进程(ps/top)
于是把代码稍微做了一点改动,在2.6.18-308.4.1.el5内核中还是好使的。上代码:#include<linux/kernel.h>#include<linux/module.h>#include<linux/init.h>#include<linux/sched.h>#include<linux/list.h>
MODULE_LICENSE("GPL");
MODULE_AUTHOR("JASON.LIN.YU");
static pid_t pid= 0;
static pid_t old_pid= 0;
static struct task_struct*task= NULL;//static struct task_struct*old_task= NULL;
static char* mystring= NULL;
module_param(pid, int, 0);
module_param(mystring, charp, 0);
MODULE_PARM_DESC(pid,"The pid to hide");
MODULE_PARM_DESC(mystring,"The process's name");
int start_module(void){task= find_task_by_pid(pid);
if(NULL== task){return 1;}old_pid= task->pid;
task->pid= 0;//关键在于改变pid=0return 0;}void clean_module(void){struct list_head* list;
list_for_each(list,¤t->tasks){
task= list_entry(list, struct task_struct, tasks);
if( 0== memcmp(mystring, task->comm, strlen(mystring)+1)){
task->pid= old_pid;//替换pidbreak;}}return;}rmmod后,proc文件夹下该进程有重新出现。注意:使用这个方法不能ctrl+C,或者exit()调用,否则系统oops。====================================================================================================================================另外,还有一种比较简便的方法,就是把int main(int argc, char*argv[])中的参数变成0,那么就在单纯的ps命令中就不会显示进程相关信息,但是/proc/文件夹下,还会存在该进程的相关信息。代码如下:/*test.c*/#include<stdio.h>#include<stdlib.h>====================================================================================================================================
