大家先普及一小段知识,我们用ps-aux可以查看到进程的PID,而每个PID都会在/proc内产生.如果查看到的pid而proc内是没有的.则是进程被人修改了.这就代表你的系统已经被入侵过了.这个检测也尤其重要并简单..请大家用上面知识编写一个shell.让他定期检查下自己的系统是否被人入侵过..
(应用知识点,for in do done 和 判断)
(应用知识点,for in do done 和 判断)
0
#!/bin/bash
for i in `ps aux|grep -v 'ps aux'|awk '{print $2}'|grep -v 'PID'`
do
if [ -d /proc/$i ];then
echo ok >/dev/null
else
echo "$i:bad"
fi
done
学习了 谢谢
for i in `ps aux|grep -v 'ps aux'|awk '{print $2}'|grep -v 'PID'`
do
if [ -d /proc/$i ];then
echo ok >/dev/null
else
echo "$i:bad"
fi
done
学习了 谢谢
编辑回复