查看系统隐藏进程busyboxunhide

Busybox

**
防止非法用户替换原有命令，导致执行命令时同时执行恶意程序。

下载busybox
#wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64

#chmod +x busybox-x86_64
#mv busybox-x86_64 /root/busybox

更改环境命令别名

#vim /root/.bash_profile
alias busybox="/root/busybox"
alias top=“busybox top”
alias ls=“busybox ls”
alias ps=“busybox ps”
alias rm=“busybox rm”
alias cat=“busybox cat”
alias lsattr=“busybox lsattr”
alias chattr=“busybox chattr”
alias grep=“busybox grep”
alias vi=“busybox vi”

验证top命令

Unhide

**
绝大多数的 Rootkit 工具或者恶意软件借助内核来实现进程隐藏，这些进程只在内核内部可见。你可以使用 unhide 或者诸如 rkhunter 等工具，扫描 rootkit 程序、后门程序以及一些可能存在的本地漏洞。

安装unhide命令
需要epel源
#wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
#yum install unhide -y
使用unhide proc查找异常进程，如果有，记录二进制文件后，直接kill该进程。二进制文件需要使用 ls -la <file_name>的方式才能发现。

unhide使用
unhide语法格式：
unhide [options] test_list
test_list 参数可以是以下测试列表中的一个或者多个标准测试：
brute
proc
procall
procfs
quick
reverse
sys
或基本测试：
checkbrute
checkchdir
checkgetaffinity
checkgetparam
checkgetpgid
checkgetprio
checkRRgetinterval
checkgetsched
checkgetsid
checkkill
checknoprocps
checkopendir
checkproc
checkquick
checkreaddir
checkreverse
checksysinfo
checksysinfo2
checksysinfo3

判断TCP/UDP端口身份
unhide-tcp 取证工具通过对所有可用的 TCP/IP 端口进行暴力求解的方式，辨别所有正在监听，却没有列入 /bin/netstat 或者 /bin/ss 命令输出的 TCP/IP 端口身份。
注一：对于 FreeBSD、OpenBSD系统，一般使用 netstat 命令取代在这些操作系统上不存在的 iproute2，此外，sockstat 命令也用于替代 fuser。
注二：如果操作系统不支持 iproute2 命令，在使用 unhide 时需要在命令上加上 -n或者 -s 选项。

#unhide-tcp

表示没有隐藏端口。
#unhide-tcp

发现三个netstat或ss命令无法显示的隐藏端口。

具体使用方法可以通过man手册查看：man unhide、man unhide-tcp