`htop` 中的所有 cpu 内核 100%,但没有显示 CPU 使用率高的进程
信息安全
勒索软件
2021-08-20 01:25:03
1个回答
在这一点上,你不能也不能再信任你的机器了。
攻击者可能有:
- 后门你的用户空间(
ps
,lsof
,top
,libprocps
,md5sum
, 等等...)来隐藏他的软件和轨迹。 - 更不可能,但存在风险,后门你的内核,这样系统调用就不会报告他们打开的文件等......
第一步可能是计算用于分析系统的软件的 MD5sum(top
、htop
等...),并将其与上游发行版的二进制文件的 MD5 和进行比较。
如果总和不同,则攻击者使用了您的用户空间后门。如果总和没有差异,那么它不能证明任何事情:攻击者可能拥有后门程序md5sum
和类似程序。
第二步是获取一个静态构建的busybox
(也就是一个完全可移植且独立的二进制文件,不依赖于您系统上的任何库)并使用它来检查您的系统。
供您参考,它busybox
是单个二进制文件中每个基本 linux 命令的极简实现。这主要用于嵌入式 linux 世界以节省空间。
如果攻击者的东西(进程、文件……)仍然隐藏,可能是你的内核空间也被后门了……此时,最好的办法是完全重新安装。