linux 777權限目錄可疑進程檢測
阿新 • • 發佈:2019-05-08
分享圖片 長時間 don 執行 brush 時間 read line 一半 大小
一 linux 777 權限及777目錄科普
只有執行權限只能進入目錄,不能看到目錄下的內容,要想看到目錄下的文件名和目錄名,需要可讀權限。
一個文件能不能被刪除,主要看該文件所在的目錄對用戶是否具有寫權限,如果目錄對用戶沒有寫權限,則該目錄下的所有文件都不能被刪除,文件所有者除外
目錄的w位不設置,即使你擁有目錄中某文件的w權限也不能寫該文件
/dev/shm 這個目錄是linux下一個利用內存虛擬出來的一個目錄,這個目錄中的文件都是保存在內存中,而不是磁盤上。其大小是非固定的,即不是預先分配好的內存來存儲的。(shm == shared memory)。默認最大為內存的一半大小,使用df -h命令可以看到.但它並不會真正的占用這塊內存,如果/dev/shm/下沒有任何文件,它占用的內存實際上就是0節
總結:即以上三個目錄均屬於777目錄,一般攻擊者都會在以上三個目錄存放木馬病毒。
二 檢測demo
- 什麽是 777
Linux的權限不是很細致,只有RWX三種
r(Read,讀取):對文件而言,具有讀取文件內容的權限;對目錄來說,具有瀏覽目錄的權限。
w(Write,寫入):對文件而言,具有新增,修改,刪除文件內容的權限;對目錄來說,具有新建,刪除,修改,移動目錄內文件的權限。
x(eXecute,執行):對文件而言,具有執行文件的權限;對目錄了來說該用戶具有進入目錄的權
目錄的只讀訪問不允許使用cd進入目錄,必須要有執行的權限才能進入。- linux具有777的目錄
#!/usr/bin/env bash Find_evil_process(){ echo "***************Find evil process (/tmp、/var/tmp、/dev/shm)***************" ls /proc/ -tr | grep -v "[a-z]" | while read line do if [ -d "/proc/$line" ];then pname=`readlink /proc/$line/exe` echo $pname | egrep ‘^/(tmp|var/tmp|dev/shm)‘ >> /dev/null if [ $? -eq 0 ];then printf "%-20s %-20s\n" $line $pname fi fi done } main(){ Find_evil_process } main
驗證截圖如下:
linux 777權限目錄可疑進程檢測