对于linux的系统进程 可以用ps命令或者top命令来查看,如何通过这个命令能够查看出系统里有没有非法的系统进程或者说有哪些进程有问题,或者系统被入侵了。
这个问题,本质上是一个关于Linux系统的安全检查方法的问题。
由于Linux发行版众多,所以目前来看,没有一个统一的“合法进程列表”存在。
我尝试着把你的问题分成两个子问题,即:
第1个问题:什么是“有问题的进程”?
第2个问题:如何发现系统被入侵了?
回答第1个问题:
我所理解的“有问题的进程”,无非是性能消耗过大的进程、非预期产生的进程。前者可以通过top/ps命令找到
而后者则要通过运维人员自身的经验来发现。
其实,Linux的进程,并不像windows的系统进程那么规则和统一。所以,也很难一眼看出哪些是异常进程。我觉得一个有些山寨的方法就是,
在系统安装之初,可以先把root启动的进程做一个记录。而后,如果出现了非预期的root进程,则要提高警惕啦。
回答第2个问题:
对于“系统被入侵”,属于安全范畴的话题。简单的话,可以通过网络连接信息、ssh登陆历史信息、
命令执行历史信息、业务模块日志等的扫描来发现。