linux安全问题

Question

linux的top命令用来实时看负载情况。会不会top被修改，输出的内容是黑客想给你看的“实时”数据，让你以为服务器工作正常，其实黑客在你服务器上挖矿了。

于是，还有其他什么方式了解系统负载情况？ 黑客难以欺骗的方式。

Answer 1

top是可执行文件，位于/usr/bin/top。如果黑客自己伪造一个top命令覆盖掉你服务器上的top命令的话，就可以实现欺骗效果

root@localhost:~# whereis top
top: /usr/bin/top /usr/share/man/man1/top.1.gz
root@localhost:~# file /usr/bin/top
/usr/bin/top: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=a10c943fcdb1203a84be9a7940c3f5f4d960f8a7, stripped

所有进程监控和管理都是基于procps实现的，所以都可以手动查看并计算，比如可以自己写一个脚本来监控 /proc/stat 的差值变化，就可以从底层直接读取 CPU 负载。

更进一步，如果黑客修改了内核的话，便可以实现更高级的欺骗效果，可以伪造 proc 下的数据。如果被黑到这一步了，公司可以关张大吉了。