linux新建目录自动777权限,linux 777权限目录可疑进程检测

一 linux 777 权限及777目录科普

什么是 777

Linux的权限不是很细致，只有RWX三种

r(Read，读取)：对文件而言，具有读取文件内容的权限；对目录来说，具有浏览目录的权限。

w(Write,写入)：对文件而言，具有新增,修改,删除文件内容的权限；对目录来说，具有新建，删除，修改，移动目录内文件的权限。

x(eXecute，执行)：对文件而言，具有执行文件的权限；对目录了来说该用户具有进入目录的权

目录的只读访问不允许使用cd进入目录，必须要有执行的权限才能进入。

只有执行权限只能进入目录，不能看到目录下的内容，要想看到目录下的文件名和目录名，需要可读权限。

一个文件能不能被删除，主要看该文件所在的目录对用户是否具有写权限，如果目录对用户没有写权限，则该目录下的所有文件都不能被删除，文件所有者除外

目录的w位不设置，即使你拥有目录中某文件的w权限也不能写该文件

linux具有777的目录

/tmp    一般用户或正在执行的程序临时存放文件的目录,任何人都可以访问,重要数据不可放置在此目录下

/var/tmp 比/tmp允许更大的或需要存在较长时间的临时文件

/dev/shm 这个目录是linux下一个利用内存虚拟出来的一个目录,这个目录中的文件都是保存在内存中，而不是磁盘上。其大小是非固定的，即不是预先分配好的内存来存储的。(shm == shared memory)。默认最大为内存的一半大小，使用df -h命令可以看到.但它并不会真正的占用这块内存，如果/dev/shm/下没有任何文件，它占用的内存实际上就是0节

总结：即以上三个目录均属于777目录，一般攻击者都会在以上三个目录存放木马病毒。

二 检测demo

#!/usr/bin/env bash

Find_evil_process(){

echo "***************Find evil process (/tmp、/var/tmp、/dev/shm)***************"

ls /proc/ -tr | grep -v "[a-z]" | while read line

do

if [ -d "/proc/$line" ];then

pname=`readlink /proc/$line/exe`

echo $pname | egrep '^/(tmp|var/tmp|dev/shm)' >> /dev/null

if [ $? -eq 0 ];then

printf "%-20s %-20s\n" $line $pname

fi

fi

done

}

main(){

Find_evil_process

}

main

验证截图如下：