搜索

[15032] 2020-02-19_AgentSmith-HIDS:一套轻量级高性能的基于主机的入侵检测系统

文档创建者:s7ckTeam
浏览次数:2
最后更新:2025-01-18
2020-02-19_AgentSmith-HIDS:一套轻量级高性能的基于主机的入侵检测系统 A g e n t S m i t h - H I D S A l p h a _ h 4 c k   F r e e B u f   2 0 2 0 - 0 2 - 1 9 A g e n t S m i t h - H I D S A g e n t S m i t h - H I D S H I D S H I D S A g e n t S m i t - H I D S H I D S 1 / p r o c 使 2 A g e n t S m i t h - H I D S 3 A g e n t S m i t h - H I D S 使 使 / / / C M D B / / / / / / / N I D S / 4 + A g e n t S m i t h - H I D S A g e n t S m i t h - H I D S 1 K p r o b e   e x e c v e D N S L K M L i n u x 2 R P M L I S T 3 A n t i R o o t K i t T y t o n P R O C _ F I L E _ H O O K S Y S C A L L _ H O O K
L K M _ H I D D E N I N T E R R U P T S _ H O O K K e r n e l   >   3 . 1 0 4 c r e d     s u d o / s u / s s h d 5 K e r n e l   >   2 . 6 . 2 5 A n t i R o o t K i t   >   3 . 1 0 H o s t D o c k e r k 8 s P O D A g e n t S m i t h - H I D S 1 L K M K p r o b e 2 K a f k a h e a r t b e a t 3 E x e c v e s y s _ e x e c v e ( ) / s y s _ e x e c v e a t ( ) / c o m p a t _ s y s _ e x e c v e ( ) / c o m p a t _ s y s _ e x e c v e a t ( )   使 {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 5 9 " ,         " r u n _ p a t h " : " / o p t / l t p / t e s t c a s e s / b i n / g r o w f i l e s " ,         " e x e " : " / o p t / l t p / t e s t c a s e s / b i n / g r o w f i l e s " ,         " a r g v " : " g r o w f i l e s   - W   g f 2 6   - D   0   - b   - i   0   - L   6 0   - u   - B   1 0 0 0 b   - e   1   - r   1 2 8 - 3 2 7 6 8 : 1 2 8   - R   5 1 2 - 6 4 0 0 0   - T   4   - f   g f s m a l l i o - 3 5 8 6 1   - d   / t m p / l t p - U j x l 8 k K s K Y   " ,         " p i d " : " 3 5 8 6 1 " ,         " p p i d " : " 3 5 7 1 1 " ,         " p g i d " : " 3 5 8 6 1 " ,         " t g i d " : " 3 5 8 6 1 " ,         " c o m m " : " g r o w f i l e s " ,         " n o d e n a m e " : " t e s t " ,         " s t d i n " : " / d e v / p t s / 1 " ,         " s t d o u t " : " / d e v / p t s / 1 " ,         " s e s s i o n i d " : " 3 " ,         " d i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 " ,         " d p o r t " : " 6 1 7 2 6 " ,         " s i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 2 8 " ,         " s p o r t " : " 2 2 " ,         " s a _ f a m i l y " : " 1 " ,         " p i d _ t r e e " : " 1 ( s y s t e m d ) - > 1 3 8 4 ( s s h d ) - > 2 1 7 5 ( s s h d ) - > 2 1 7 7 ( b a s h ) - > 2 1 9 3 ( f i s h ) - > 3 5 5 5 2 ( r u n l t p ) - > 3 5 7 1 1 ( l t p - p a n ) - > 3 5 8 6 1 ( g r o w f i l e s ) " ,         " t t y _ n a m e " : " p t s 1 " ,         " s o c k e t _ p r o c e s s _ p i d " : " 2 1 7 5 " ,         " s o c k e t _ p r o c e s s _ e x e " : " / u s r / s b i n / s s h d " ,         " S S H _ C O N N E C T I O N " : " 1 9 2 . 1 6 8 . 1 6 5 . 1   6 1 7 2 6   1 9 2 . 1 6 8 . 1 6 5 . 1 2 8   2 2 " ,         " L D _ P R E L O A D " : " / r o o t / l d p r e l o a d / t e s t . s o " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 9 5 7 5 4 2 9 1 4 3 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 2 8 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 0 1 2 7 2 1 5 2 d 4 9 0 1 f d 3 c 2 e f a c a b 5 c 0 e 3 8 e 5 " ,         " s o c k e t _ p r o c e s s _ e x e _ m d 5 " : " 6 8 6 c d 7 2 b 4 3 3 9 d a 3 3 b f b 6 f e 8 f b 9 4 a 3 0 1 f " }
s y s _ c o n n e c t ( )   使 D N S s y s _ r e c v f r o m ( )   使 s e c u r i t y _ i n o d e _ c r e a t e ( )   使 {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 4 2 " ,         " s a _ f a m i l y " : " 2 " ,         " f d " : " 4 " ,         " d p o r t " : " 1 0 2 5 " ,         " d i p " : " 1 8 0 . 1 0 1 . 4 9 . 1 1 " ,         " e x e " : " / u s r / b i n / p i n g " ,         " p i d " : " 6 2 9 4 " ,         " p p i d " : " 1 9 4 1 " ,         " p g i d " : " 6 2 9 4 " ,         " t g i d " : " 6 2 9 4 " ,         " c o m m " : " p i n g " ,         " n o d e n a m e " : " t e s t " ,         " s i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " s p o r t " : " 4 5 5 2 4 " ,         " r e s " : " 0 " ,         " s e s s i o n i d " : " 1 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 5 7 2 1 9 2 1 2 4 0 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 7 3 5 a e 7 0 b 4 c e b 8 7 0 7 a c c 4 0 b c 5 a 3 d 0 6 e 0 4 " } {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 6 0 1 " ,         " s a _ f a m i l y " : " 2 " ,         " f d " : " 4 " ,         " d p o r t " : " 5 3 " ,         " d i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 2 " ,         " e x e " : " / u s r / b i n / p i n g " ,         " p i d " : " 6 2 9 4 " ,         " p p i d " : " 1 9 4 1 " ,         " p g i d " : " 6 2 9 4 " ,         " t g i d " : " 6 2 9 4 " ,         " c o m m " : " p i n g " ,         " n o d e n a m e " : " t e s t " ,         " s i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " s p o r t " : " 5 3 1 7 8 " ,         " q r " : " 1 " ,         " o p c o d e " : " 0 " ,         " r c o d e " : " 0 " ,         " q u e r y " : " w w w . b a i d u . c o m " ,         " s e s s i o n i d " : " 1 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 5 7 2 1 9 2 1 2 4 0 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 3 9 c 4 5 4 8 7 a 8 5 e 2 6 c e 5 7 5 5 a 8 9 3 f 7 e 8 8 2 9 3 " }
s y s _ p t r a c e ( ) 使 L K M l o a d _ m o d u l e ( ) 使 C r e d c o m m i t _ c r e d s ( ) 使 {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 6 0 2 " ,         " e x e " : " / u s r / l i b / j v m / j a v a - 1 . 8 . 0 - o p e n j d k - 1 . 8 . 0 . 2 3 2 . b 0 9 - 0 . e l 7 _ 7 . x 8 6 _ 6 4 / j r e / b i n / j a v a " ,         " f i l e _ p a t h " : " / t m p / k a f k a - l o g s / r e p l i c a t i o n - o f f s e t - c h e c k p o i n t . t m p " ,         " p i d " : " 3 3 4 1 " ,         " p p i d " : " 1 " ,         " p g i d " : " 2 6 5 7 " ,         " t g i d " : " 2 6 5 9 " ,         " c o m m " : " k a f k a - s c h e d u l e r " ,         " n o d e n a m e " : " t e s t " ,         " s e s s i o n i d " : " 3 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 5 7 2 1 9 8 4 2 5 7 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 2 1 5 b e 7 0 a 3 8 c 3 a 2 e 1 4 e 0 9 d 6 3 7 c 8 5 d 5 3 1 1 " ,         " c r e a t e _ f i l e _ m d 5 " : " d 4 1 d 8 c d 9 8 f 0 0 b 2 0 4 e 9 8 0 0 9 9 8 e c f 8 4 2 7 e " } {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 1 0 1 " ,         " p t r a c e _ r e q u e s t " : " 4 " ,         " t a r g e t _ p i d " : " 7 4 0 2 " ,         " a d d r " : " 0 0 0 0 7 f f e 1 3 0 1 1 e e 6 " ,         " d a t a " : " - a " ,         " e x e " : " / r o o t / p t r a c e / p t r a c e " ,         " p i d " : " 7 4 0 1 " ,         " p p i d " : " 1 9 4 1 " ,         " p g i d " : " 7 4 0 1 " ,         " t g i d " : " 7 4 0 1 " ,         " c o m m " : " p t r a c e " ,         " n o d e n a m e " : " t e s t " ,         " s e s s i o n i d " : " 1 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 5 7 2 2 7 1 7 0 6 5 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 3 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 8 6 3 2 9 3 f 9 f c f 1 a f 7 a f e 5 7 9 7 a 4 b 6 b 7 a a 0 a " } {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 6 0 3 " ,         " e x e " : " / u s r / b i n / k m o d " ,         " l k m _ f i l e " : " / r o o t / p t r a c e / p t r a c e " ,         " p i d " : " 2 9 4 6 1 " ,         " p p i d " : " 9 7 6 6 " ,         " p g i d " : " 2 9 4 6 1 " ,         " t g i d " : " 2 9 4 6 1 " ,         " c o m m " : " i n s m o d " ,         " n o d e n a m e " : " t e s t " ,         " s e s s i o n i d " : " 1 3 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 7 2 1 2 8 7 3 7 9 1 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " 0 0 1 0 4 3 3 a b 9 1 0 5 d 6 6 6 b 0 4 4 7 7 9 f 3 6 d 6 d 1 e " ,         " l o a d _ f i l e _ m d 5 " : " 8 6 3 2 9 3 f 9 f c f 1 a f 7 a f e 5 7 9 7 a 4 b 6 b 7 a a 0 a " }
P R O C L K M {         " u i d " : " 0 " ,         " d a t a _ t y p e " : " 6 0 4 " ,         " e x e " : " / t m p / t t " ,         " p i d " : " 2 7 7 3 7 " ,         " p p i d " : " 2 6 8 6 5 " ,         " p g i d " : " 2 7 7 3 7 " ,         " t g i d " : " 2 7 7 3 7 " ,         " c o m m " : " t t " ,         " o l d _ u i d " : " 1 0 0 0 " ,         " n o d e n a m e " : " t e s t " ,         " s e s s i o n i d " : " 4 2 " ,         " u s e r " : " r o o t " ,         " t i m e " : " 1 5 7 8 3 9 6 1 9 7 1 3 1 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " ,         " e x e _ m d 5 " : " d 9 9 a 6 9 5 d 2 d c 4 b 5 0 9 9 3 8 3 f 3 0 9 6 4 6 8 9 c 5 5 " } {         " d a t a _ t y p e " : " 1 0 0 1 " ,         " s t a t u s " : " F a i l e d " ,         " t y p e " : " p a s s w o r d " ,         " u s e r _ e x s i t " : " f a l s e " ,         " u s e r " : " s a d " ,         " f r o m _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 " ,         " p o r t " : " 6 3 0 8 9 " ,         " p r o c e s s o r " : " s s h 2 " ,         " t i m e " : " 1 5 7 8 4 0 5 4 8 3 1 1 9 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 2 8 " ,         " h o s t n a m e " : " l o c a l h o s t . l o c a l d o m a i n " } {         " u i d " : " - 1 " ,         " d a t a _ t y p e " : " 7 0 0 " ,         " m o d u l e _ n a m e " : " a u t o i p v 6 " ,         " h i d d e n " : " 0 " ,         " t i m e " : " 1 5 7 8 3 8 4 9 8 7 7 6 6 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " } {         " u i d " : " - 1 " ,         " d a t a _ t y p e " : " 7 0 1 " ,         " m o d u l e _ n a m e " : " d i a m o r p h i n e " ,         " h i d d e n " : " 1 " ,         " s y s c a l l _ n u m b e r " : " 7 8 " ,         " t i m e " : " 1 5 7 8 3 8 4 9 2 7 6 0 6 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " } {         " u i d " : " - 1 " ,         " d a t a _ t y p e " : " 7 0 2 " ,         " m o d u l e _ n a m e " : " d i a m o r p h i n e " ,         " h i d d e n " : " 1 " ,         " t i m e " : " 1 5 7 8 3 8 4 9 2 7 6 0 6 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " }
C P U I n t e l ( R )   C o r e ( T M )   i 7 - 4 8 7 0 H Q   C P U   @   2 . 5 0 G H z   R A M 2 G B O S / K e r n e l C e n t o s 7   /   3 . 1 0 . 0 - 1 0 6 2 . 7 . 1 . e l 7 . x 8 6 _ 6 4 ( u s ) e x e c v e _ e n t r y _ h a n d l e r 1 0 . 4 c o n n e c t _ h a n d l e r 7 . 5 c o n n e c t _ e n t r y _ h a n d l e r 0 . 0 6 r e c v f r o m _ h a n d l e r 9 . 2 r e c v f r o m _ e n t r y _ h a n d l e r 0 . 1 7 f s n o t i f y _ p o s t _ h a n d l e r 0 . 0 7 G N U   G P L v 2 A g e n t S m i t h - H I D S *   E B W i 1 1 F B A l p h a _ h 4 c k F r e e B u f . C O M {         " u i d " : " - 1 " ,         " d a t a _ t y p e " : " 7 0 3 " ,         " m o d u l e _ n a m e " : " s y s h o o k " ,         " h i d d e n " : " 1 " ,         " i n t e r r u p t _ n u m b e r " : " 2 " ,         " t i m e " : " 1 5 7 8 3 8 4 9 2 7 6 0 6 " ,         " l o c a l _ i p " : " 1 9 2 . 1 6 8 . 1 6 5 . 1 5 2 " ,         " h o s t n a m e " : " t e s t " }

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理