linux 777权限目录可疑进程检测

 

一 linux 777 权限及777目录科普

• 什么是 777 

           Linux的权限不是很细致，只有RWX三种

           r(Read，读取)：对文件而言，具备读取文件内容的权限；对目录来讲，具备浏览目录的权限。

           w(Write,写入)：对文件而言，具备新增,修改,删除文件内容的权限；对目录来讲，具备新建，删除，修改，移动目录内文件的权限。

           x(eXecute，执行)：对文件而言，具备执行文件的权限；对目录了来讲该用户具备进入目录的权

           目录的只读访问不容许使用cd进入目录，必需要有执行的权限才能进入。

           只有执行权限只能进入目录，不能看到目录下的内容，要想看到目录下的文件名和目录名，须要可读权限。

           一个文件能不能被删除，主要看该文件所在的目录对用户是否具备写权限，若是目录对用户没有写权限，则该目录下的全部文件都不能被删除，文件全部者除外

           目录的w位不设置，即便你拥有目录中某文件的w权限也不能写该文件

• linux具备777的目录

           /tmp    通常用户或正在执行的程序临时存放文件的目录,任何人均可以访问,重要数据不可放置在此目录下

           /var/tmp 比/tmp容许更大的或须要存在较长时间的临时文件

           /dev/shm 这个目录是linux下一个利用内存虚拟出来的一个目录,这个目录中的文件都是保存在内存中，而不是磁盘上。其大小是非固定的，即不是预先分配好的内存来存储的。(shm == shared memory)。默认最大为内存的一半大小，使用df -h命令能够看到.但它并不会真正的占用这块内存，若是/dev/shm/下没有任何文件，它占用的内存实际上就是0节

总结：即以上三个目录均属于777目录，通常攻击者都会在以上三个目录存放木马病毒。

二 检测demo 

 

#!/usr/bin/env bash


Find_evil_process(){
    echo "***************Find evil process (/tmp、/var/tmp、/dev/shm)***************"
    ls /proc/ -tr | grep -v "[a-z]" | while read line
    do
        if [ -d "/proc/$line" ];then
            pname=`readlink /proc/$line/exe`
            echo $pname | egrep '^/(tmp|var/tmp|dev/shm)' >> /dev/null
            if [ $? -eq 0 ];then
                printf "%-20s %-20s\n" $line $pname
            fi
        fi
    done
}

main(){
    Find_evil_process
}
main

　　验证截图以下：