python 检测白名单外的非法进程的进程树和链接信息

2024-05-30 00:18

本文主要是介绍python 检测白名单外的非法进程的进程树和链接信息,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

之前服务器被hacker留下后门,会在服务器起脚本与hacker的机器进行连接发送信息,后面在处理完后加防时写了个检测非法进程的脚本

一般来说,自己的服务器上的进程是固定的,而且在这里只是检查有网络活动的进程

1、进程白名单

首先拟定了针对自己服务器上进程的白名单文件pro_white,内容如下:

sshd
mysqld
zabbix_agentd
/usr/sbin/sshd
cupsd
dhclient
rpcbind
rpc.statd
/usr/libexec/postfix
/usr/sbin/dnsmasq
secu-tcs-agent
ssh
将服务器上有进行网络活动的合法进程 写到这份白名单文件中

2、获取当前有网络活动的进程,返回进程列表

本文章是通过lsof这个命令来获取进行网络活动的进程信息: /usr/sbin/lsof -i -nP ,将获取到的信息处理成自己想要的:

例如:/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2 |/usr/bin/tail -n +2 |/bin/sort |/usr/bin/uniq|/usr/bin/xargs /bin/ps -fp |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,3,9- | /bin/sed "1d"

结果如下:


这行命令执行结果有三列,第一列为进程号,第二列为父进程号,后面的为进程的shell命令

用python将结果处理为这样的数据格式:{进程号:{‘ppid’:父进程号,'shellcommand':shell命令}}

###获取当前有网络活动的进程,返回进程字典def getCurProcDict(self):n = runCmd(real=1)cmd = '/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2 |/usr/bin/tail -n +2 |/bin/sort |/usr/bin/uniq|/usr/bin/xargs /bin/ps -fp |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,3,9- | /bin/sed "1d"'execute = n.run(cmd) if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2])                                                 else:                curAllProcList = execute[2].strip().split('\n')curAllProcDict = {}for proc in curAllProcList:procinfo = proc.split(' ')tempDict = {}tempDict['ppid'] = procinfo[1]tempDict['shellditail'] = ' '.join(procinfo[2:])curAllProcDict[procinfo[0]] = tempDictreturn curAllProcDict

3、获取链接信息

执行命令:/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,9 | /bin/sed "1d" | /bin/sed -e "s/*://g"

结果如下:


第一列为进程号,后面的为进程的连接信息

用python处理成这样的数据格式:{进程号:连接信息}

##获取链接信息              def getConnDict(self):n = runCmd(real=1)cmd = '/usr/sbin/lsof -i -nP |/usr/bin/tr -s [:space:] |/bin/cut -d " " -f 2,9 | /bin/sed "1d" | /bin/sed -e "s/*://g"'execute = n.run(cmd)if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2])                                                 else:                connList = execute[2].strip().split('\n')connDict = {}              for item in connList:connDict[item.split(' ')[0]] = ' '.join(item.split(' ')[1:])return connDict


4、获取所有进程信息

执行命令:/bin/ps -ef | /usr/bin/tr -s [:space:] | /bin/cut -d " " -f 2,3,8-

结果如下:

用python处理成这样的数据格式: {进程号:{‘ppid’:父进程号,'shellcommand':shell命令}}

#获取所有进程信息
	def getAllPs(self):n = runCmd(real=1)cmd = '/bin/ps -ef | /usr/bin/tr -s [:space:] | /bin/cut -d " " -f 2,3,8-'execute = n.run(cmd)if not execute[0]:sa.error(u"执行lsof失败: %s" % execute[2])                                                 else:                AllPsList = execute[2].strip().split('\n')AllPsDict = {}for proc in AllPsList:procinfo = proc.split(' ')tempDict = {}tempDict['ppid'] = procinfo[1]tempDict['shellditail'] = ' '.join(procinfo[2:])AllPsDict[procinfo[0]] = tempDict   return AllPsDict

5、解析白名单文件

        def getWhiteProcList(self):with open("%s/proc_white" % self.path,"r") as f:x = f.readlines()return x

以上几个函数,都是用于获取数据并进行格式化的函数

6、通过进程号获取父进程

这是个递归函数,函数返回的字典结构:{进程号:连接信息}

##获取父进程def getPProc(self,ppid,procdict1,allpsdict):if ppid != '0' and ppid != '1':procdict1[ppid] = allpsdict[ppid]['shellditail']self.getPProc(allpsdict[ppid]['ppid'],procdict1,allpsdict)return procdict1
这个函数会在父进程号为0或1(init进程)时停止递归

7、检测主函数

接下来的代码,会用到以上的所有函数,对每个有网络活动的进程进行检查,与白名单进行对比,确定是否为非法进程:

def checkMain(self):invalidproc = []curprocdict = self.getCurProcDict()whiteproclist = self.getWhiteProcList()conndict = self.getConnDict()for pid,curproc in curprocdict.items():isnormalproc = False#sa.info(curproc['shellditail'])#每个进程与白名单比对for whiteproc in whiteproclist:for item in whiteproc.strip().split(' '):isre = True #是否匹配到if curproc['shellditail'].find(item) == -1:#没有匹配到isre = Falsebreak#匹配到if isre:isnormalproc = Truebreakif not isnormalproc:procdict1 = {pid:curproc['shellditail']}procdict1 = self.getPProc(curproc['ppid'],procdict1,allpsdict)procdict1 = sorted(procdict1.items(),key=lambda item:item[0])#去掉本地连接m = re.search('(.*)->(.*)', conndict[pid])if m:ip1 = m.group(1).split(':')[0]ip2 = m.group(2).split(':')[0]if ip1 and ip2 in ['127.0.0.1']:continueif curproc['shellditail'].strip() not in self.totallist.values():#if not self.totallist.has_key(pid):#if curproc['shellditail'] not in self.totallist:sa.error(u"检测到非法进程:进程ID: %s 具体进程: %s" % (pid,curproc['shellditail']))sa.error(u"pstree: %s" % str(procdict1))#self.totallist.append(curproc['shellditail'])self.totallist[pid] = curproc['shellditail'].strip()invalidproc.append(u'连接信息:%s' % conndict[pid])sa.error(u'连接信息:%s' % conndict[pid])for item in procdict1:invalidproc.append(item[0]+" "+json.dumps(item[1]))#else:#        self.totallist[pid]if len(invalidproc)>2:sa.error('检测到的非法进程列表: %s' % str(self.totallist))p = PostReport('\n'.join(invalidproc).replace(">","-"),u'非法进程检测')sendMsg = p.postRes()if int(sendMsg['state']) == 1:sa.info(u"检测非法进程发送告警接口成功")                       else:sa.error(u"检测非法进程发送告警接口异常")



整个过程如上,文章省略了日志函数sa和执行命令函数runcmd的代码,这个大家可以按照自己的方式来就行,重点是逻辑

哈哈



这篇关于python 检测白名单外的非法进程的进程树和链接信息的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1015039

相关文章

python: 多模块(.py)中全局变量的导入

文章目录 global关键字可变类型和不可变类型数据的内存地址单模块(单个py文件)的全局变量示例总结 多模块(多个py文件)的全局变量from x import x导入全局变量示例 import x导入全局变量示例 总结 global关键字 global 的作用范围是模块(.py)级别: 当你在一个模块(文件)中使用 global 声明变量时,这个变量只在该模块的全局命名空

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

nudepy,一个有趣的 Python 库!

更多资料获取 📚 个人网站:ipengtao.com 大家好,今天为大家分享一个有趣的 Python 库 - nudepy。 Github地址:https://github.com/hhatto/nude.py 在图像处理和计算机视觉应用中,检测图像中的不适当内容(例如裸露图像)是一个重要的任务。nudepy 是一个基于 Python 的库,专门用于检测图像中的不适当内容。该