linux 777權限目錄可疑進程檢測

 

一 linux 777 權限及777目錄科普

• 什麼是 777 

           Linux的權限不是很細緻，只有RWX三種

           r(Read，讀取)：對文件而言，具備讀取文件內容的權限；對目錄來講，具備瀏覽目錄的權限。

           w(Write,寫入)：對文件而言，具備新增,修改,刪除文件內容的權限；對目錄來講，具備新建，刪除，修改，移動目錄內文件的權限。

           x(eXecute，執行)：對文件而言，具備執行文件的權限；對目錄了來講該用戶具備進入目錄的權

           目錄的只讀訪問不容許使用cd進入目錄，必需要有執行的權限才能進入。

           只有執行權限只能進入目錄，不能看到目錄下的內容，要想看到目錄下的文件名和目錄名，須要可讀權限。

           一個文件能不能被刪除，主要看該文件所在的目錄對用戶是否具備寫權限，若是目錄對用戶沒有寫權限，則該目錄下的全部文件都不能被刪除，文件全部者除外

           目錄的w位不設置，即便你擁有目錄中某文件的w權限也不能寫該文件

• linux具備777的目錄

           /tmp    通常用戶或正在執行的程序臨時存放文件的目錄,任何人均可以訪問,重要數據不可放置在此目錄下

           /var/tmp 比/tmp容許更大的或須要存在較長時間的臨時文件

           /dev/shm 這個目錄是linux下一個利用內存虛擬出來的一個目錄,這個目錄中的文件都是保存在內存中，而不是磁盤上。其大小是非固定的，即不是預先分配好的內存來存儲的。(shm == shared memory)。默認最大爲內存的一半大小，使用df -h命令能夠看到.但它並不會真正的佔用這塊內存，若是/dev/shm/下沒有任何文件，它佔用的內存實際上就是0節

總結：即以上三個目錄均屬於777目錄，通常攻擊者都會在以上三個目錄存放木馬病毒。

二 檢測demo 

 

#!/usr/bin/env bash


Find_evil_process(){
    echo "***************Find evil process (/tmp、/var/tmp、/dev/shm)***************"
    ls /proc/ -tr | grep -v "[a-z]" | while read line
    do
        if [ -d "/proc/$line" ];then
            pname=`readlink /proc/$line/exe`
            echo $pname | egrep '^/(tmp|var/tmp|dev/shm)' >> /dev/null
            if [ $? -eq 0 ];then
                printf "%-20s %-20s\n" $line $pname
            fi
        fi
    done
}

main(){
    Find_evil_process
}
main

　　驗證截圖以下：