我刚刚安装了OSSEC,这是说的这个
Process '2517' hidden from /proc. Possible kernel level rootkit. Excessive number of hidden processes. It maybe a false-positive or something really bad is going on. 它是我的现场服务器,我托pipe了大约20个站点。
我怎样才能删除。 以及它可以做的最大的伤害
您每次运行OSSEC时都会看到隐藏的进程吗? 如果你只看到一次,可能是OSSEC从ps (比如说)得到信息,然后用/ proc检查它之间有一个延迟。 与此同时,这个过程可能已经结束,提高了刚刚看到的警报。
安装和运行rkhunter可能是件好事。 如果这证实您已经被入侵,那么您唯一的实际行动就是制作一个受感染的服务器的副本,稍后再进行分析,然后重新安装,并使用已知的良好备份进行恢复。
可能是OSSEC正在使用unhide实用程序来检查隐藏的进程。 这个工具有时会引起误报。
您可以运行unhide proc或unhide-linux26 proc来运行64位系统。