shell 习题44 检查系统是否入侵

先普及一个小常识,我们使用ps 可以看到进程的PID,某个PID都会在/proc/内产生。如果查看到的pid在proc内是没有的,则进程被人就被修改过,就代表系统很有可能已经被入侵过。
请用上面知识写一个shell,定期检查下自己的系统是否被人入侵过。

核心要点

遍历PID判断是在/proc目录下,当执行本脚本时,脚本内的每个命令都会产生个子进程,执行完本脚本后便消失,从而导致遍历PID时会把本脚本产生个子进程pid也会遍历上。通过子进程的ppid来判断是本脚本而不进行显示。
ps -efl 查看进程的pid和ppid
$$ 表示当前进程得pid

代码内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/bin/bash
#
#program:
#    检查进程得pid是否在/proc中,并不包含本脚本的进程号和子进程号
#
#history:
#2020/01/13    kun    V1.0

#本脚本的pid
ppid=$$
echo $ppid

ps -elf |sed '1d' > /tmp/44.log
#j变量在awk等于$$ $4表示进程号 $5表示父进程号 如果改进程号的ppid是本机的pid就会给过滤掉
for pid in `awk -v j=$ppid '$5!=j {print $4}' /tmp/44.log`;do
    if [ ! -d /proc/$pid ];then
    echo "系统中并没有pid为$pid的目录,请检查系统..."
    fi
done

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

欢迎光临<br><br>本博客是用来记录学习Linux Python Shell和Perl<br>谢谢大家