涼了，CPU 飆的老高了！

其中這位朋友服務(wù)器上發(fā)現(xiàn)的連接到的是7777端口，鐘馗之眼顯示，這是一個(gè)HTTP服務(wù)的端口，直接訪問返回的信息如下：

mining pool!，服務(wù)器正在挖礦實(shí)錘了！

但神奇的是，這個(gè)進(jìn)程像是隱身了一般，找不到存在的任何痕跡。

進(jìn)程如何隱藏

現(xiàn)在說回到本文的正題：Linux操作系統(tǒng)上，進(jìn)程要隱藏起來，有哪些招數(shù)？

要回答這個(gè)問題，先來知道ps、top等命令枚舉系統(tǒng)的進(jìn)程列表的原理。

Linux的設(shè)計(jì)哲學(xué)是：一切皆文件！

進(jìn)程也不例外， Linux系統(tǒng)中有一個(gè)特殊的目錄：/proc/，這個(gè)目錄下的內(nèi)容，不是硬盤上的文件系統(tǒng)，而是操作系統(tǒng)內(nèi)核暴露出的內(nèi)核中進(jìn)程、線程相關(guān)的數(shù)據(jù)接口，也就是procfs，里面記錄了系統(tǒng)上正在運(yùn)行的進(jìn)程和線程信息，來查看一下：

這些以數(shù)字命名的目錄，就是一個(gè)進(jìn)程的PID，里面記錄了該進(jìn)程的詳細(xì)信息。

而ps、top等命令的工作原理，實(shí)質(zhì)上就是遍歷這個(gè)目錄。

知道了原理，想實(shí)現(xiàn)隱藏就有以下幾個(gè)思路：

命令替換

直接替換系統(tǒng)中的ps、top命令工具。可以從GitHub上下載它們的源碼，加入對應(yīng)的過濾邏輯，在遍歷進(jìn)程的時(shí)候，剔除挖礦進(jìn)程，實(shí)現(xiàn)隱藏的目的。

模塊注入

編寫一個(gè)動(dòng)態(tài)鏈接庫so文件，在so中，HOOK遍歷相關(guān)的函數(shù)（readdir/readdir64），遍歷的時(shí)候，過濾挖礦進(jìn)程。

通過修改LD_PRELOAD環(huán)境變量或/etc/ld.so.preload文件，配置動(dòng)態(tài)鏈接庫，實(shí)現(xiàn)將其注入到目標(biāo)進(jìn)程中。

內(nèi)核級隱藏

模塊注入的方式是在應(yīng)用層執(zhí)行函數(shù)HOOK，隱藏挖礦進(jìn)程，更進(jìn)一步，可以通過加載驅(qū)動(dòng)程序的方式在內(nèi)核空間HOOK相應(yīng)的系統(tǒng)調(diào)用來實(shí)現(xiàn)隱藏。不過這對攻擊者的技術(shù)要求也更高，遇到這樣的病毒清理起來挑戰(zhàn)也更大了。

揪出挖礦進(jìn)程

通過上面的進(jìn)程隱藏原理看得住來，都是想盡辦法隱藏/proc目錄下的內(nèi)容，類似于“障眼法”，所以包含ps、top、ls等等在內(nèi)的命令，都沒辦法看到挖礦進(jìn)程的存在。

但蒙上眼不代表不存在，有一個(gè)叫unhide的工具，就能用來查看隱藏進(jìn)程。

我讓這位朋友安裝這個(gè)工具來查找隱藏的進(jìn)程，但奇怪的是，一執(zhí)行yum install安裝，遠(yuǎn)程連接的SSH會(huì)話就立刻斷開。

于是退而求其次，選擇通過源碼安裝，又是一直各種報(bào)錯(cuò)···

因?yàn)槲覜]辦法親自操作這臺服務(wù)器，溝通起來比較麻煩，于是我決定研究下這個(gè)unhide工具的源碼，然后編一個(gè)python腳本發(fā)給他執(zhí)行。

源碼地址：https://github.com/YJesus/Unhide-NG/blob/master/unhide-linux.c