歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

Linux Sys Monitor 系統運維監控器進程規則簡介

進程監控是為方便您發現木馬程序和自動查殺某些進程的工具。

它能有效的查看到未知的進程。

對於頑固型的病毒,在沒有找到根源之前杜絕它運行。

在進程主界面上點“監控”按鈕打開進程規則的對話框。

點擊“讀取”按鈕會讀入:/root/LinuxSysMonitor/bin/PsRuleConfig

這個文件的內容。

其中Legitimate下面的都是合法的進程命令。

Illegal下面的都是非法的進程命令。

您可以點擊命令列頭來排序。點保存/應用,是按順序來保存的。

合法的進程:表示允許運行的進程命令。發現了,也不做提示,也不查殺。

非法的進程:表示不允許運行的進程命令。發現了,自動查殺。

如果即不是合法規則也不是非法規則的進程,一經發現,會顯示在主界面的未知進程列表裡面。

同時屏幕右下角會彈出提示

比如:這個新啟動的tomcat進程。對它點擊右鍵,出現菜單。

選擇:

此進程合法:將會把全命令加入到合法規則列表。

點“保存/應用”這樣,未知進程中就不會再出現這個進程了。

此進程不合法:將會把全命令加入到非法規則列表。點“保存/應用”之後,只要它再啟動就會被服務器端自動殺掉。殺掉之後,也不會出現在未知進程中。

此進程合法(通配):對於需要傳不同參數的命令,用此項。它會在命令之後加入一個*號。

*號表示後面可以是任何個數的字符。*號只能用於匹配,字符串後面部分,不能用於匹配前面或中間部分。

一般命令比如:ls*

以路徑打頭的命令,中間會加一個空格。比如:/root/run *

這是為了防止有人這樣運行,/bin/bash/bug

他建了一個同名的文件夾:bash,並把自己的程序放在它的下面。

所以不能直接用/bin/bash* 這樣簡單的匹配。

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45348.htm

對於像這樣的/bin/sh /root/LinuxSysMonitor/run.sh 加入到規則表時會自動去掉/bin/sh 部分,放入表中。比對時,也會去掉/bin/sh 部分之後,比對後面的真實命令部分,也就是只比對/root/LinuxSysMonitor/run.sh

對列表點右鍵,可以手動添加自定義的項。

對列表裡面的項點右鍵,有這些菜單。

移到非法:移動選中行到非法規則中。

移到合法:移動選中行到合法規則中。

全部移除:移除選中列表中所有行。

手動添加:同列頭手動添加。

修改:修改選中行。

同時,作者也給您提供了一份默認的列表,存放在configback文件夾中,

把它放到/root/LinuxSysMonitor/bin/PsRuleConfig就可以讀取應用了。

您也可以根據機器的實際情況設計一份自己的規則表。

點“查找”按鈕。在對話框中選擇列表,輸入要找的命令名,可以模糊地在列表中查詢和統計。

這樣能夠快速的定位,並對它操作了。

此功能可以結合,防篡改功能使用。

防篡改功能可以用來保證您的/bin/ps 進程查詢命令文件不被修改。

這讓木馬程序無處藏身。

進程監控中發現了未知的木馬進程就會提示出來。

您可以看到它的進程id和父id,

如果它是被某個ssh連進來啟動的還沒有斷開,

可以通過父id找到ssh的進程。

再把ssh的進程id放到端口查詢界面中一查,就能知道是哪台機在做壞事了。

您需要查一查遠程ip對應的是哪台內網機,

是內部人員搞破壞?還是它中了病毒或有漏洞?

其實很多情況下是有內鬼,因為外網可能已禁止登錄。

如果是外網機,那您的防火牆應該還有漏洞。

先用防火牆功能把他的ip禁掉。

殺掉木馬進程後,通過復制的路徑把木馬文件刪除,或者把它下載下來留做證據。

再就是,有可能此時您的root密碼已經洩露,建議將root密碼改掉吧!

本文出自 “虛幻真實的作品展示區” 博客,請務必保留此出處http://7591167.blog.51cto.com/7581167/1251599

Copyright © Linux教程網 All Rights Reserved