本文主要是介绍python 检测白名单外的非法进程的进程树和链接信息,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
之前服务器被hacker留下后门,会在服务器起脚本与hacker的机器进行连接发送信息,后面在处理完后加防时写了个检测非法进程的脚本
一般来说,自己的服务器上的进程是固定的,而且在这里只是检查有网络活动的进程
1、进程白名单
首先拟定了针对自己服务器上进程的白名单文件pro_white,内容如下:
sshd
mysqld
zabbix_agentd
/usr/sbin/sshd
cupsd
dhclient
rpcbind
rpc.statd
/usr/libexec/postfix
/usr/sbin/dnsmasq
secu-tcs-agent
ssh
将服务器上有进行网络活动的合法进程 写到这份白名单文件中
2、获取当前有网络活动的进程,返回进程列表
本文章是通过lsof这个命令来获取进行网络活动的进程信息: /usr/sbin/lsof -i -nP ,将获取到的信息处理成自己想要的:
例如:/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2 |/usr/bin/tail -n +2 |/bin/sort |/usr/bin/uniq|/usr/bin/xargs /bin/ps -fp |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,3,9- | /bin/sed "1d"
结果如下:
这行命令执行结果有三列,第一列为进程号,第二列为父进程号,后面的为进程的shell命令
用python将结果处理为这样的数据格式:{进程号:{‘ppid’:父进程号,'shellcommand':shell命令}}
###获取当前有网络活动的进程,返回进程字典def getCurProcDict(self):n = runCmd(real=1)cmd = '/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2 |/usr/bin/tail -n +2 |/bin/sort |/usr/bin/uniq|/usr/bin/xargs /bin/ps -fp |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,3,9- | /bin/sed "1d"'execute = n.run(cmd) if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2]) else: curAllProcList = execute[2].strip().split('\n')curAllProcDict = {}for proc in curAllProcList:procinfo = proc.split(' ')tempDict = {}tempDict['ppid'] = procinfo[1]tempDict['shellditail'] = ' '.join(procinfo[2:])curAllProcDict[procinfo[0]] = tempDictreturn curAllProcDict
3、获取链接信息
执行命令:/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,9 | /bin/sed "1d" | /bin/sed -e "s/*://g"
结果如下:
第一列为进程号,后面的为进程的连接信息
用python处理成这样的数据格式:{进程号:连接信息}
##获取链接信息 def getConnDict(self):n = runCmd(real=1)cmd = '/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,9 | /bin/sed "1d" | /bin/sed -e "s/*://g"'execute = n.run(cmd)if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2]) else: connList = execute[2].strip().split('\n')connDict = {} for item in connList:connDict[item.split(' ')[0]] = ' '.join(item.split(' ')[1:])return connDict
执行命令:/bin/ps -ef | /usr/bin/tr -s [:space:] | /bin/cut -d " " -f 2,3,8-
结果如下:
用python处理成这样的数据格式: {进程号:{‘ppid’:父进程号,'shellcommand':shell命令}}
#获取所有进程信息
def getAllPs(self):n = runCmd(real=1)cmd = '/bin/ps -ef | /usr/bin/tr -s [:space:] | /bin/cut -d " " -f 2,3,8-'execute = n.run(cmd)if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2]) else: AllPsList = execute[2].strip().split('\n')AllPsDict = {}for proc in AllPsList:procinfo = proc.split(' ')tempDict = {}tempDict['ppid'] = procinfo[1]tempDict['shellditail'] = ' '.join(procinfo[2:])AllPsDict[procinfo[0]] = tempDict return AllPsDict
5、解析白名单文件
def getWhiteProcList(self):with open("%s/proc_white" % self.path,"r") as f:x = f.readlines()return x
以上几个函数,都是用于获取数据并进行格式化的函数
6、通过进程号获取父进程这是个递归函数,函数返回的字典结构:{进程号:连接信息}
##获取父进程def getPProc(self,ppid,procdict1,allpsdict):if ppid != '0' and ppid != '1':procdict1[ppid] = allpsdict[ppid]['shellditail']self.getPProc(allpsdict[ppid]['ppid'],procdict1,allpsdict)return procdict1
这个函数会在父进程号为0或1(init进程)时停止递归
7、检测主函数
接下来的代码,会用到以上的所有函数,对每个有网络活动的进程进行检查,与白名单进行对比,确定是否为非法进程:
def checkMain(self):invalidproc = []curprocdict = self.getCurProcDict()whiteproclist = self.getWhiteProcList()conndict = self.getConnDict()for pid,curproc in curprocdict.items():isnormalproc = False#sa.info(curproc['shellditail'])#每个进程与白名单比对for whiteproc in whiteproclist:for item in whiteproc.strip().split(' '):isre = True #是否匹配到if curproc['shellditail'].find(item) == -1:#没有匹配到isre = Falsebreak#匹配到if isre:isnormalproc = Truebreakif not isnormalproc:procdict1 = {pid:curproc['shellditail']}procdict1 = self.getPProc(curproc['ppid'],procdict1,allpsdict)procdict1 = sorted(procdict1.items(),key=lambda item:item[0])#去掉本地连接m = re.search('(.*)->(.*)', conndict[pid])if m:ip1 = m.group(1).split(':')[0]ip2 = m.group(2).split(':')[0]if ip1 and ip2 in ['127.0.0.1']:continueif curproc['shellditail'].strip() not in self.totallist.values():#if not self.totallist.has_key(pid):#if curproc['shellditail'] not in self.totallist:sa.error(u"检测到非法进程:进程ID: %s 具体进程: %s" % (pid,curproc['shellditail']))sa.error(u"pstree: %s" % str(procdict1))#self.totallist.append(curproc['shellditail'])self.totallist[pid] = curproc['shellditail'].strip()invalidproc.append(u'连接信息:%s' % conndict[pid])sa.error(u'连接信息:%s' % conndict[pid])for item in procdict1:invalidproc.append(item[0]+" "+json.dumps(item[1]))#else:# self.totallist[pid]if len(invalidproc)>2:sa.error('检测到的非法进程列表: %s' % str(self.totallist))p = PostReport('\n'.join(invalidproc).replace(">","-"),u'非法进程检测')sendMsg = p.postRes()if int(sendMsg['state']) == 1:sa.info(u"检测非法进程发送告警接口成功") else:sa.error(u"检测非法进程发送告警接口异常")
整个过程如上,文章省略了日志函数sa和执行命令函数runcmd的代码,这个大家可以按照自己的方式来就行,重点是逻辑
哈哈
这篇关于python 检测白名单外的非法进程的进程树和链接信息的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!