一 linux 777 权限及777目录科普
  • 什么是 777 

           Linux的权限不是很细致,只有RWX三种

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

           r(Read,读取):对文件而言,具有读取文件内容的权限;对目录来说,具有浏览目录的权限。

           w(Write,写入):对文件而言,具有新增,修改,删除文件内容的权限;对目录来说,具有新建,删除,修改,移动目录内文件的权限。

           x(eXecute,执行):对文件而言,具有执行文件的权限;对目录了来说该用户具有进入目录的权

           目录的只读访问不允许使用cd进入目录,必须要有执行的权限才能进入。            只有执行权限只能进入目录,不能看到目录下的内容,要想看到目录下的文件名和目录名,需要可读权限。            一个文件能不能被删除,主要看该文件所在的目录对用户是否具有写权限,如果目录对用户没有写权限,则该目录下的所有文件都不能被删除,文件所有者除外            目录的w位不设置,即使你拥有目录中某文件的w权限也不能写该文件
  • linux具有777的目录
           /tmp    一般用户或正在执行的程序临时存放文件的目录,任何人都可以访问,重要数据不可放置在此目录下            /var/tmp 比/tmp允许更大的或需要存在较长时间的临时文件            /dev/shm 这个目录是linux下一个利用内存虚拟出来的一个目录,这个目录中的文件都是保存在内存中,而不是磁盘上。其大小是非固定的,即不是预先分配好的内存来存储的。(shm == shared memory)。默认最大为内存的一半大小,使用df -h命令可以看到.但它并不会真正的占用这块内存,如果/dev/shm/下没有任何文件,它占用的内存实际上就是0节 总结:即以上三个目录均属于777目录,一般攻击者都会在以上三个目录存放木马病毒。 二 检测demo    
#!/usr/bin/env bash


Find_evil_process(){
    echo "***************Find evil process (/tmp、/var/tmp、/dev/shm)***************"
    ls /proc/ -tr | grep -v "[a-z]" | while read line
    do
        if [ -d "/proc/$line" ];then
            pname=`readlink /proc/$line/exe`
            echo $pname | egrep '^/(tmp|var/tmp|dev/shm)' >> /dev/null
            if [ $? -eq 0 ];then
                printf "%-20s %-20s\n" $line $pname
            fi
        fi
    done
}

main(){
    Find_evil_process
}
main

  验证截图如下:

linux 777权限目录可疑进程检测 随笔 第1张

linux 777权限目录可疑进程检测 随笔 第2张

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄