Linux下初步後門查找

1. 帳號後門



檢查/etc/passwd、/etc/shadow文件中如下帳號是否已經擁有合法登錄shell、登錄口令



bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、games、
gopher、ftp、nobody、xfs、named、gdm、sys、nuucp、listen



/etc/passwd文件格式如下



username : password : uid : gid : comment : home_directory : shell



建議對/etc/passwd、/etc/shadow文件做備份，保留在其他主機或可移動介質上，定期對
比，檢查是否增加了異常帳號。



2. $HOME/.rhosts後門



趁系統乾淨的時候，記錄、備份/etc/hosts.equiv和$HOME/.rhosts文件，定期掃描檢查
是否增加了這類文件以及原有文件內容是否改變



3. binary木馬後門



二進位木馬後門是將系統二進位可執行文件替換成特洛伊(trojan)木馬文件來達到放置后
門的效果。可能是獲取了源代碼，修改後重新編譯。或者藉助其他技術直接向二進位程序
文件中植入代碼。



對這類後門檢測的第一步是檢查時間戳與校驗和，假設已經對文件用類似TripWire這類工
具作了時間戳與校驗和記錄。如果沒有使用過TripWire，用"ls -l"和"stat"命令檢查時
間戳，是否有明顯不協調的文件。如果存在，極可能被替換成特洛伊木馬植入後門了，仔
細作進一步查證。



對於網路應用程序，運行後用netstat和lsof命令查看是否存在不正常的行為。尤其是查
看有無異常埠被打開，有無異常文件被打開。



作進一步查證時，第一步是用strings命令查找程序中有無異常字元串。第二步，如有必
要，需要將現有二進位代碼與確認乾淨的二進位代碼進行比較。



對於這類後門，重點檢查這樣一些程序



in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、
in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、
rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、ufsd、
fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、in.comsat



/etc/init.d目錄中啟動腳本調用的二進位可執行程序



ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr
afbinit audit autofs autoinstall buildmnttab
cachefs.daemon cachefs.root cacheos cacheos.finish cron
devlinks drvconfig dtlogin inetinit inetsvc
init.dmi init.snmpdx initpcmcia keymap lp
mkdtab nfs.client nfs.server nscd pcmcia
power rootusr rpc savecore sendmail
spc standardmounts sysetup sysid.net sysid.sys
syslog ufs_quota utmpd volmgt xntpd



除了上面所列的，還要注意下面這些後門



1) login後門



如果"strings /usr/bin/login | grep crypt"有輸出，很可能是木馬。



2) ls、dir、vdir後門



ls、dir、vdir後門的用意在於隱藏文件和目錄。如果執行這些命令時可以加"-/"選項(原
有代碼中不支持這個選項)，則說明已經被植入木馬了。



檢查/dev目錄，查找是否有諸如"/dev/ptyr"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，說明已經有木馬了。如果strings ls | grep "/dev/pty"有輸出，或者直接
strings ls發現可疑路徑和文件名，說明已經有木馬。對dir、vdir也一樣。



3) du後門



du後門同樣是用來隱藏文件和目錄的。如果命令行中執行這個命令可以加"-/"選項(原有
代碼中沒有這個選項)，那麼說明已經被植入木馬了。檢查/dev目錄，查找是否有諸如
"/dev/ptyr"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，說明已經有木馬了。如果strings du | grep "/dev/pty"有輸出，或者直接
strings du發現可疑路徑和文件名，說明已經有木馬。



4) ifconfig後門



ifconfig後門就是把下面一行代碼註釋掉



if ( ptr->flags & IFF_PROMISC ) printf( "PROMISC " );



以去掉網卡混雜模式顯示。如果"strings /sbin/ifconfig | grep PROMISC"沒有輸出，
ifconfig肯定已被修改過了。



5) netstat後門



檢查/dev目錄，檢查是否存在"/dev/ptyq"一類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而執行netstat時用lsof發現它被打開，說明netstat被植入木馬。如果命令行
中netstat接受"-/"選項(原有代碼中沒有這個選項)，那麼，netstat肯定被修改過了。
如果strings netstat | grep "/dev/pty"有輸出，或者直接strings netstat發現可疑
路徑或文件名，說明已經被修改過。



netstat木馬程序的一個實現不支持"-p"選項，而系統自身的netstat實現支持"-p"選項。
因此如果發現netstat不支持"-p"選項，肯定netstat被修改過。另外，Linux系統的"-p"
選項表示列印出進程號(pid)和程序名(program name)信息，而Solaris系統上"-p"表示打
印出ARP Cache信息。如果發現與這一點不符，netstat就被修改過。



6) ps後門



檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而執行ps時用lsof發現它被打開，說明ps被植入木馬。如果命令行中ps接受"-/"
選項(原有代碼中沒有這個選項)，那麼ps肯定被修改過。如果
strings ps | grep "/dev/pty"有輸出，或者直接strings ps發現可疑路徑和文件名，說
明已經被植入木馬。



7) top後門



檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而執行top時用lsof發現它被打開，說明ps被植入木馬。如果命令行中top接
受"-/"選項(原有代碼中沒有這個選項)，那麼top肯定被修改過。如果
strings top | grep "/dev/pty"有輸出，或者直接strings top發現可疑路徑和文件名，
說明已經被植入木馬。



8) tcpd後門



tcpd中有一段代碼，這段代碼對遠程主機名進行查詢和檢查，拒絕可疑連接。木馬的目的
是使這段代碼失效。



檢查/dev目錄，查找是否有諸如"/dev/ptyq"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而啟動tcpd時用lsof發現它被打開，說明tcpd被植入木馬。如果tcpd接受"-/"
選項(原有代碼中沒有這個選項)，那麼tcpd肯定被修改過。如果
strings tcpd | grep "/dev/pty"有輸出，或者直接strings tcpd發現可疑路徑和文件名，
說明已經被植入木馬。



9) syslogd後門



檢查/dev目錄，查找是否有諸如"/dev/ptys"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptys



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而啟動syslogd時用lsof發現它被打開，說明syslogd被植入木馬。如果
strings syslogd | grep "/dev/pty"有輸出，或者直接strings syslogd發現可疑路徑和
文件名，說明已經被植入木馬。



10) killall後門



檢查/dev目錄，查找是否有諸如"/dev/ptyp"之類的文件，用"ls -l"看結果是否為



-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



而不是



crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp



或



brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***



如果有，而執行killall時用lsof發現它被打開，說明killall被植入木馬。如果killall
接受"-/"選項(原有代碼中沒有這個選項)，那麼killall肯定被修改過。如果
strings killall | grep "/dev/pty"有輸出，或者直接strings killall發現可疑路徑和
文件名，說明已經被植入木馬。



11) pop3d後門



pop3d-trojan.tar.gz
12) sshd後門

sshd後門把ssh發行包里的login.c作了修改，加入內置的帳號/口令。執行
"strings sshd"，發現諸如"hax0r3d"這樣的字元串，說明sshd已被植入木馬

13) cgi後門

在cgi-bin/目錄下檢查這類cgi程序，尤其是perl寫的腳本

14) find後門

檢查/dev目錄，查找是否有諸如"/dev/ptyr"之類的文件，用"ls -l"看結果是否為

-rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

而不是

crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr

或

brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/***

如果有，而執行find時用lsof發現它被打開，說明find被植入木馬。如果find接受"-/"
選項(原有代碼中沒有這個選項)，那麼find肯定被修改過。如果
strings find | grep "/dev/pty"有輸出，或者直接strings find發現可疑路徑和文件名，
說明已經被植入木馬。

15) chfn後門

16) chsh後門

4. 守護進程後門

binary木馬後門是把系統上原有的二進位可執行程序換成特洛伊(trojan)木馬程序。另一
類後門是在系統上隱藏一些可執行程序，這些可執行程序原來系統上並不存在。按照網路
協議來分類，它們有如下類別

1) UDP後門

啟動一個守護進程，偵聽某個UDP埠，收到特定UDP報文後啟動一個shell。例如
udp-backdoor-v2.0.tgz，就是這類後門的安裝包。可用"netstat -na -P udp"查看這類后
門。

2) TCP後門

諸如bdoor.c之類的小程序。執行"netstat -na -P tcp" 查看這類後門是否在活動。

3) Raw Socket後門

這類後門打開一個raw socket，通過發ICMP包來進行網路通訊。

如果已對文件系統用TripWire之類的工具作了備份和記錄，檢測這類後門的第一步當然是
用這類工具檢查是否增加了新文件，特別是可執行文件。如果有，需仔細檢查，它極可能
是後門程序。

另一方面，在系統上安置守護進程後門后，攻擊者要做的事就是如何啟動它。如果沒有啟
動，後門毫無用處。Unix系統上守護進程通過rc腳本來啟動，對網路守護進程，還可以
通過inetd 超級伺服器來啟動。相應地，檢測這類後門也依據這些，並結合這類後門大都
要進行網路通訊的特徵

1) 檢查rc腳本

對Solaris系統，在/etc目錄下有這樣一些rc腳本

rcS、rc0、rc1、rc2、rc3、rc5、rc6

對Linux，rc腳本在/etc/rc.d目錄下，它們是rc、rc.local、rc.sysinit。

對Solaris系統，rc[S-6]腳本名最後一個數字或字母表示運行級別。/etc目錄下另有
rc0.d、rc1.d、rc2.d、rc3.d、rcS.d五個目錄，目錄名中'.'前面的數字或字母同樣是表
示運行級別。rc[S-6] 腳本的作用是，按運行級別，對相應的rc[S-6]目錄下文件名以'S'
打頭的腳本文件，賦給參數start，啟動相應的守護進程，以'K'打頭的腳本文件，賦給參
數stop，關閉相應的守護進程。其中的例外是，rc5和rc6腳本啟動或關閉的是rc0.d中
的守護進程。此外，rcS、rc0、rc1、rc5、rc6腳本還進行文件系統安裝或拆卸工作。特
別是 rcS，它是系統啟動時必須執行的，它對文件系統進行檢查和安裝，進行各項系統配
置。

對Linux系統，/etc/rc.d目錄下有rc0、rc1、rc2、rc3、rc4、rc5、rc6這七個目錄。
/etc/rc.d/rc腳本依據運行級別象Solaris上一樣通過rc[0-6]目錄中的腳本啟動或關閉
守護進程。同時，對每個運行級別，rc.local腳本都將執行。rc.sysinit腳本系統啟動時
必須執行，它檢查和安裝文件系統，進行各項系統配置。

檢查上面的幾個腳本文件，如果發現文件被修改，加有別的東西執行別的程序，必須仔細
檢查這些程序，很可能是啟動某個後門程序。

上面所列的rc?.d目錄中的腳本文件，對Solaris，都是到/etc/init.d目錄中某個腳本文
件的符號連接或者硬鏈接，對Linux，都是到/etc/rc.d/init.d目錄中某個腳本文件的符
號連接或者硬鏈接。這些rc?.d目錄中的腳本文件名為SNN***或KNN***，NN為數字，它
的大小表明腳本執行的次序，***為字元串，表示服務名。對腳本文件名的 *** 部分，在
Solaris上大致為下面這些

ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr
afbinit audit autofs autoinstall buildmnttab
cachefs.daemon cachefs.root cacheos cacheos.finish cron
devlinks drvconfig dtlogin inetinit inetsvc
init.dmi init.snmpdx initpcmcia keymap lp
mkdtab nfs.client nfs.server nscd pcmcia
power rootusr rpc savecore sendmail
spc standardmounts sysetup sysid.net sysid.sys
syslog ufs_quota utmpd volmgt xntpd

在Linux上，大致為下面這些

anacron apmd arpwatch atd crond functions
gpm halt httpd httpd.orig identd inet
ipchains ipsec irda kdcrotate keytable killall
kudzu linuxconf lpd named netfs network
nfs nfslock pcmcia portmap random rstatd
rusersd rwalld rwhod sendmail single snmpd
syslog xfs ypbind yppasswdd ypserv

仔細檢查這些rc?.d 目錄，如果發現某個腳本文件不是到/etc/rc.d/init.d或/etc/init.d
目錄中某個腳本文件的符號連接、硬鏈接，或者出現與上面文件名規則不相符的腳本文件，
或者增加了某個腳本文件，它很可能是用來啟動後門進程的，必須仔細檢查這些腳本啟動
的程序。

確信rc?.d目錄中腳本文件都是到/etc/rc.d/init.d或/etc/init.d目錄中某個腳本文件
的符號連接、硬鏈接后，再cd到/etc/rc.d/init.d或/etc/init.d目錄下。檢查init.d
目錄下的腳本文件。如果某個腳本啟動的服務進程與名稱不符，或者腳本文件的內容被修
改，加有別的什麼東西啟動了別的進程，必須仔細檢查，極可能是被用來啟動後門進程。

除此之外，與二進位木馬後門相交*，對init.d目錄下腳本文件啟動的每一個程序本身，
都要仔細檢查，運行起來看看有沒有什麼不正常的現象，防止它有可能被換成木馬。對於
init.d目錄中的腳本文件啟動的程序，它們的二進位文件大都在/usr/bin、
/usr/local/bin、/sbin、/usr/sbin目錄下。

2) 檢查/etc/inetd.conf配置文件

注意/etc/inetd.conf中的語法

#
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

和，這兩個欄位的關係就象execve()函數的第一個形參和第二
形參。檢查/etc/inetd.conf，特別是最後兩個欄位，是否除通常的服務外啟動了別的服務。
如果有的話，仔細檢查這項服務，很可能是在啟動後門程序。

同樣，與binary木馬後門相交*，對inet.conf所列的每項服務，都要對相應程序進行檢
查，很有可能它們被換成木馬程序。

3) 使用netstat和lsof命令

如果後門程序作為守護進程啟動，通常它偵聽某個埠，通過該埠與外網連接。攻擊者
藉此獲取對系統的訪問。

對Linux系統，用"netstat -nap"命令列出網路狀態信息，特別注意 和
這兩欄。如果所列的 中 ":" 后給出埠處於偵聽
狀態，而系統又沒有在這個埠啟動服務，從 這欄追蹤對應程序，
它肯定是後門程序。如果 中某埠與另一端建立了連接，系統沒有在該
埠上配置服務，從 欄中檢查建立該連接的程序，如果程序不是通
常系統配置允許使用的客戶程序，仔細檢查該程序，它屬於不正常的行為，很可能是後門
程序。

對Solaris系統，先用"netstat -na"列出網路狀態信息，取出 欄中的
local_host_addr:port。再執行"lsof -i tcp@local_host_addr:port"命令，或者對UDP
協議執行"lsof -i udp@local_host_addr:port"命令，這樣就得到了netstat命令沒有列
出的 。隨後按上面Linux系統一樣的方式來做。注意，這裡的
local_host_addr 是本機的IP地址或主機名，也可以簡化為 tcp:port 或 udp:port，還
可以加上 -T[q、s、w 任意組合] 選項列出隊列長度、狀態、窗口大小信息。

對於raw socket，用"lsof -n | grep raw"命令進行檢查。

5. cron後門

除了以守護進程方式啟動後門，還可以利用cron機制啟動後門，下面就是植入這類後門的
一個腳本

-------------------------------------------------------------------------------
#! /sbin/sh
# Which port should the shell start on
PORT="31337"
# Where (and under what name) to hide the socket demon
HIDE="/dev/ptyp"
# Time when the demon should start (0-23 h, military time)
START="2"
# Same like above but when should it stop
STOP="3"

if [ "`whoami`" != "root" ]; then
echo "you had to be root to do this!"
exit 1
fi

echo "#define PORT " $PORT > backdoor.c
cat >> backdoor.c << 'EOF'
... ...
EOF
gcc -O3 -o $HIDE backdoor.c

if [ -f $HIDE ]; then
echo "Compiling done"
rm -f backdoor.c
else
echo "Unable to compile"
rm -f backdoor.c
exit 1
fi
echo "STARTTIME = "$START"; ENDTIME = "$STOP"h"
echo "*" $START "* * *" $HIDE > crontabfile
echo "*" $STOP "* * * killall -9 "$HIDE >> crontabfile
crontab crontabfile
rm -f crontabfile
-------------------------------------------------------------------------------

(這個腳本有問題，如果這樣做了，會破壞原來的/var/spool/cron/crontabs/root)

對Linux系統，crontab文件位於/var/spool/cron目錄中，對Solaris系統，位於
/var/spool/cron/crontabs目錄中。這些crontab文件一般以用戶名作文件名，cron守護
進程每隔一分鐘就檢查一次，依據它們更新內存中的crontab表。編輯crontab文件后，
後門程序就在固定的時間啟動和停止。

檢測後門時，相應地檢查/var/spool/cron/crontabs或/var/spool/cron目錄中的crontab
文件，查看是否有可疑程序被執行了。如果有，仔細檢查它是否是後門程序。與binary木
馬後門相交*，還要仔細檢查原有cron任務對應的程序，防止它們被換成木馬。

如果cron後門有網路通訊，與守護進程後門一樣，可以結合netstat和lsof命令來檢測。

6. 動態鏈接庫後門

幾乎所有的Unix系統使用動態庫。動態庫重用相同代碼而減少空間佔用。入侵者可以修改
動態庫里的函數，比如說crypt()、open()或read()等，在修改後的函數里植入後門，啟
動shell或建立網路連接。

動態庫後門的特點是非常隱蔽，一旦植入很難被發現。尤其是可以用來避免後門作為守護
進程常駐後台，這就大大減小了被發現的可能性。例如這樣，在系統經常調用的函數，比
如open()里植入後門，後門程序啟動一個進程作為連接的客戶端，它主動發起連接連向攻
擊者指定主機上的守護進程。如果連接失敗或攻擊者沒有坐在機器前輸入什麼數據相應，
後門進程立即退出。如果連接成功而攻擊者又坐在機器前，攻擊者迅速做完要做的事後斷
開連接，後門進程立即退出。如果攻擊者在夜深人靜的工作，在這個短暫的時間裡很難被
發現。

對於動態庫後門，很難檢測出來。一般說來，對大多數動態庫，都有一個對應的靜態庫。
它們的功能是相同的，只有動態連接和靜態連接的區別。因此一種檢測方法是，如果通過
某種方法，比如說比較MD5校驗和，確信靜態庫沒有被污染，那麼，對於經常被調用的函
數，用objdump觀察動態庫和靜態庫，比較這些函數在動態庫和靜態庫中的代碼有沒有什
么區別。如果某個函數有區別，說明這個動態庫函數已被植入後門。

當然，如果靜態庫已經被污染，就需要乾淨系統動態庫文件的一份拷貝了。用objdump來
對經常被調用的函數進行比較，檢查是否某個函數被植入後門。

另一種方法是，寫一個main()函數來調用這些經常被調用的函數，編譯后運行它。運行時
查看有沒有什麼異常，特別是用netstat和lsof查看有無哪個埠或文件不正常地被打開。
如果有這些異常，說明相應函數被植入後門。做這件事時要特別小心，最好事先作好系統
備份，以防某些有害後門對系統造成傷害，比如說刪除某個文件。

如果檢測binary木馬後門和守護進程後門時發現異常，但又未發現某個可執行文件被換成
木馬，也沒有發現暗藏的後門程序，此時就要注意動態庫了，很可能是在動態庫做了手腳。

經常調用的函數列表

函數 | 所在的庫文件 | 簡單說明
-----------------+-----------------------+-----------------------
open | libc.so | . . .
-----------------+-----------------------+-----------------------
close | libc.so | . . .
-----------------+-----------------------+-----------------------
crypt | libcrypt.so | . . .
-----------------+-----------------------+-----------------------

(注意完成這個表)

為了檢測這類後門，下面給出一個shell腳本。從乾淨系統上取得一個動態庫拷貝，用這
腳本進行比較，查看代碼有沒有什麼區別，以確定是否被置入後門。

-------------------------------------------------------------------------------
此處代碼略
-------------------------------------------------------------------------------

7. SLKM後門

THC的slkm-1.0.tar.gz

-------------------------------------------------------------------------------
此處代碼略
-------------------------------------------------------------------------------

8. sniffer後門

sniffer用來監聽主機或網路，以獲取敏感數據，比如帳號/口令。對於網路監聽，可以查
看網路介面是否處於混雜(promisc)模式后確定。

對Linux系統，在命令行執行ifconfig命令，如果發現PROMISC這個字元串，說明網路接
口處於混雜(promisc)模式，排除合法用戶運行網路協議分析程序后，意味著有sniffer在
運行。如果這樣，立即執行命令"lsof -n | grep sock"，對第五列TYPE欄位為sock的那
些輸出行仔細檢查，確定出哪一個程序在sniffer，刪除之。

對於Solaris系統，用下面的方法來查出是否有某個進程在進行網路監聽，它是正常運用
還是後門程序

# ifconfig -a # 列出活動的網路介面
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863 mtu 1500
inet 192.168.10.2 netmask ffff0000 broadcast 192.168.255.255
ether 8:0:20:b0:64:6d
# ls -l /dev/hme* # 查出網路介面設備
lrwxrwxrwx 1 root other 29 Oct 9 1998 /dev/hme->../devices/pseudo/clone@0:hme
# ls -l /devices/pseudo/clone@0:hme # 細看一下
crw------- 1 root sys 11, 7 Oct 9 1998 /devices/pseudo/clone@0:hme
# lsof | grep "hme" # 用 lsof 查看是否處於混雜模式
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
# lsof | grep "clone@0:hme" # 同上
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
#

"lsof | grep ***" 有輸出，說明有監聽程序在運行，"***"是程序名，進一步仔細查證，
確定是否是後門程序。

Tags: linux system 系統