Linux Sys Monitor 系统 运维 监控器 进程规则
进程监控是为方便您发现木马程序和自动查杀某些进程的工具。
它能有效的查看到未知的进程。
对于顽固型的病毒,在没有找到根源之前杜绝它运行。
在进程主界面上点“监控”按钮打开进程规则的对话框。
点击“读取”按钮会读入:/root/LinuxSysMonitor/bin/PsRuleConfig
这个文件的内容。
其中Legitimate下面的都是合法的进程命令。
Illegal下面的都是非法的进程命令。
您可以点击命令列头来排序。点保存/应用,是按顺序来保存的。
合法的进程:表示允许运行的进程命令。发现了,也不做提示,也不查杀。
非法的进程:表示不允许运行的进程命令。发现了,自动查杀。
如果即不是合法规则也不是非法规则的进程,一经发现,会显示在主界面的未知进程列表里面。
同时屏幕右下角会弹出提示
比如:这个新启动的tomcat进程。对它点击右键,出现菜单。
选择:
此进程合法:将会把全命令加入到合法规则列表。
点“保存/应用”这样,未知进程中就不会再出现这个进程了。
此进程不合法:将会把全命令加入到非法规则列表。点“保存/应用”之后,只要它再启动就会被服务器端自动杀掉。杀掉之后,也不会出现在未知进程中。
此进程合法(通配):对于需要传不同参数的命令,用此项。它会在命令之后加入一个*号。
*号表示后面可以是任何个数的字符。*号只能用于匹配,字符串后面部分,不能用于匹配前面或中间部分。
一般命令比如:ls*
以路径打头的命令,中间会加一个空格。比如:/root/run *
这是为了防止有人这样运行,/bin/bash/bug
他建了一个同名的文件夹:bash,并把自己的程序放在它的下面。
所以不能直接用/bin/bash* 这样简单的匹配。
对于像这样的/bin/sh /root/LinuxSysMonitor/run.sh 加入到规则表时会自动去掉/bin/sh 部分,放入表中。比对时,也会去掉/bin/sh 部分之后,比对后面的真实命令部分,也就是只比对/root/LinuxSysMonitor/run.sh
对列表点右键,可以手动添加自定义的项。
对列表里面的项点右键,有这些菜单。
移到非法:移动选中行到非法规则中。
移到合法:移动选中行到合法规则中。
全部移除:移除选中列表中所有行。
手动添加:同列头手动添加。
修改:修改选中行。
同时,作者也给您提供了一份默认的列表,存放在configback文件夹中,
把它放到/root/LinuxSysMonitor/bin/PsRuleConfig就可以读取应用了。
您也可以根据机器的实际情况设计一份自己的规则表。
点“查找”按钮。在对话框中选择列表,输入要找的命令名,可以模糊地在列表中查询和统计。
这样能够快速的定位,并对它操作了。
此功能可以结合,防篡改功能使用。
防篡改功能可以用来保证您的/bin/ps 进程查询命令文件不被修改。
这让木马程序无处藏身。
进程监控中发现了未知的木马进程就会提示出来。
您可以看到它的进程id和父id,
如果它是被某个ssh连进来启动的还没有断开,
可以通过父id找到ssh的进程。
再把ssh的进程id放到端口查询界面中一查,就能知道是哪台机在做坏事了。
您需要查一查远程ip对应的是哪台内网机,
是内部人员搞破坏?还是它中了病毒或有漏洞?
其实很多情况下是有内鬼,因为外网可能已禁止登录。
如果是外网机,那您的防火墙应该还有漏洞。
先用防火墙功能把他的ip禁掉。
杀掉木马进程后,通过复制的路径把木马文件删除,或者把它下载下来留做证据。
再就是,有可能此时您的root密码已经泄露,建议将root密码改掉吧!