進程監控是為方便您發現木馬程序和自動查殺某些進程的工具。
它能有效的查看到未知的進程。
對於頑固型的病毒,在沒有找到根源之前杜絕它運行。
在進程主界面上點“監控”按鈕打開進程規則的對話框。
點擊“讀取”按鈕會讀入:/root/LinuxSysMonitor/bin/PsRuleConfig
這個文件的內容。
其中Legitimate下面的都是合法的進程命令。
Illegal下面的都是非法的進程命令。
您可以點擊命令列頭來排序。點保存/應用,是按順序來保存的。
合法的進程:表示允許運行的進程命令。發現了,也不做提示,也不查殺。
非法的進程:表示不允許運行的進程命令。發現了,自動查殺。
如果即不是合法規則也不是非法規則的進程,一經發現,會顯示在主界面的未知進程列表裡面。
同時屏幕右下角會彈出提示
比如:這個新啟動的tomcat進程。對它點擊右鍵,出現菜單。
選擇:
此進程合法:將會把全命令加入到合法規則列表。
點“保存/應用”這樣,未知進程中就不會再出現這個進程了。
此進程不合法:將會把全命令加入到非法規則列表。點“保存/應用”之後,只要它再啟動就會被服務器端自動殺掉。殺掉之後,也不會出現在未知進程中。
此進程合法(通配):對於需要傳不同參數的命令,用此項。它會在命令之後加入一個*號。
*號表示後面可以是任何個數的字符。*號只能用於匹配,字符串後面部分,不能用於匹配前面或中間部分。
一般命令比如:ls*
以路徑打頭的命令,中間會加一個空格。比如:/root/run *
這是為了防止有人這樣運行,/bin/bash/bug
他建了一個同名的文件夾:bash,並把自己的程序放在它的下面。
所以不能直接用/bin/bash* 這樣簡單的匹配。
本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45348.htm
對於像這樣的/bin/sh /root/LinuxSysMonitor/run.sh 加入到規則表時會自動去掉/bin/sh 部分,放入表中。比對時,也會去掉/bin/sh 部分之後,比對後面的真實命令部分,也就是只比對/root/LinuxSysMonitor/run.sh
對列表點右鍵,可以手動添加自定義的項。
對列表裡面的項點右鍵,有這些菜單。
移到非法:移動選中行到非法規則中。
移到合法:移動選中行到合法規則中。
全部移除:移除選中列表中所有行。
手動添加:同列頭手動添加。
修改:修改選中行。
同時,作者也給您提供了一份默認的列表,存放在configback文件夾中,
把它放到/root/LinuxSysMonitor/bin/PsRuleConfig就可以讀取應用了。
您也可以根據機器的實際情況設計一份自己的規則表。
點“查找”按鈕。在對話框中選擇列表,輸入要找的命令名,可以模糊地在列表中查詢和統計。
這樣能夠快速的定位,並對它操作了。
此功能可以結合,防篡改功能使用。
防篡改功能可以用來保證您的/bin/ps 進程查詢命令文件不被修改。
這讓木馬程序無處藏身。
進程監控中發現了未知的木馬進程就會提示出來。
您可以看到它的進程id和父id,
如果它是被某個ssh連進來啟動的還沒有斷開,
可以通過父id找到ssh的進程。
再把ssh的進程id放到端口查詢界面中一查,就能知道是哪台機在做壞事了。
您需要查一查遠程ip對應的是哪台內網機,
是內部人員搞破壞?還是它中了病毒或有漏洞?
其實很多情況下是有內鬼,因為外網可能已禁止登錄。
如果是外網機,那您的防火牆應該還有漏洞。
先用防火牆功能把他的ip禁掉。
殺掉木馬進程後,通過復制的路徑把木馬文件刪除,或者把它下載下來留做證據。
再就是,有可能此時您的root密碼已經洩露,建議將root密碼改掉吧!
本文出自 “虛幻真實的作品展示區” 博客,請務必保留此出處http://7591167.blog.51cto.com/7581167/1251599
