如何查看linux隐藏进程并删除rootkit

Question

我刚刚安装了OSSEC，它告诉我们

Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.

它是我的实时服务器，我在上面托管了大约20个站点。

我怎么能把它移除。它能造成多大的伤害？

Answer 1

您每次运行OSSEC时都会看到隐藏的进程吗？如果您只看到它一次，那么在OSSEC从ps获得信息(比如说)到检查它与/proc之间可能会有延迟。与此同时，该过程可能已经结束，提高了您刚才看到的警报。

Answer 2

安装和运行rkhunter可能是件好事。如果这证实了您已经被破坏，那么您唯一的实际操作是在稍后进行分析的受损服务器的副本，然后重新安装从零开始，并恢复使用已知的良好备份。

Answer 3

可能是OSSEC使用unhide实用程序来检查隐藏的进程。这个工具有时会产生假阳性.

您可以通过为64位系统运行unhide proc或unhide-linux26 proc来检查自己。