我的服务器被互联网黑客入侵了。
服务器会*system-sleep*从ls/find命令中隐藏任何具有名称模式的文件或文件夹。我可以使用一些命令,比如chmod隐藏文件夹。但是当我创建具有相同名称/路径模式的任何文件夹或文件时,它会被隐藏。
我很好奇他们是怎么做到的?我已经查看了bashrc文件,他们没有做任何事情,比如将--ignore选项添加到ls.
他们可能已经加载了一个内核模块,该模块与getdents()系统调用的处理挂钩,并在返回到用户空间之前从结果中删除匹配的目录条目。
使用该insmod命令,可以从非默认位置加载这样的内核模块,也可以对其进行欺骗性命名。它也可能lsmod以几乎相同的方式将自己隐藏在列表中:通过连接到内核中生成列表的部分并在继续传递信息之前从中删除自己的名称。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句