linux的top命令用来实时看负载情况。会不会top被修改,输出的内容是黑客想给你看的“实时”数据,让你以为服务器工作正常,其实黑客在你服务器上挖矿了。 于是,还有其他什么方式了解系统负载情况? 黑客难以欺骗的方式。
top是可执行文件,位于/usr/bin/top。如果黑客自己伪造一个top命令覆盖掉你服务器上的top命令的话,就可以实现欺骗效果 root@localhost:~# whereis top top: /usr/bin/top /usr/share/man/man1/top.1.gz root@localhost:~# file /usr/bin/top /usr/bin/top: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=a10c943fcdb1203a84be9a7940c3f5f4d960f8a7, stripped 所有进程监控和管理都是基于procps实现的,所以都可以手动查看并计算,比如可以自己写一个脚本来监控 /proc/stat 的差值变化,就可以从底层直接读取 CPU 负载。 更进一步,如果黑客修改了内核的话,便可以实现更高级的欺骗效果,可以伪造 proc 下的数据。如果被黑到这一步了,公司可以关张大吉了。
极客观点
项目管理
HarmonyOS
top是可执行文件,位于/usr/bin/top。如果黑客自己伪造一个top命令覆盖掉你服务器上的top命令的话,就可以实现欺骗效果
所有进程监控和管理都是基于procps实现的,所以都可以手动查看并计算,比如可以自己写一个脚本来监控
/proc/stat的差值变化,就可以从底层直接读取 CPU 负载。更进一步,如果黑客修改了内核的话,便可以实现更高级的欺骗效果,可以伪造 proc 下的数据。如果被黑到这一步了,公司可以关张大吉了。