Unhide — утилита для обнаружения скрытых процессов и портов в системе. Отличный инструмент, который стоит использовать в ходе осмотра сервера после взлома. Unhide работает с данными, которые получает из /proc, /bin/ps и из системных вызовов. Список всех тестов можно получить просто выполнив команду:
# unhide
В рамках большинства тестов происходит сравнение данных из разных источников в системе. Например, сравнивается вывод /bin/ps с информацией, собранной с помощью chdir() в procfs. Или же информация из /bin/ps с данными собранными из sysinfo(). На основе результатов сравнения делается вывод — имеется ли в системе что-то скрытое или нет. Для проведения доступно 6 стандартных тестов и 19 базовых (Elementary tests).
- Проверка всех процессов методом перебора:
# unhide brute
- Сравнение данных из /proc и от /bin/ps:
# unhide proc
- Соотношение данных полученных от /bin/ps с procfs:
# unhide procfs
- Совмещает в себе proc и procfs тесты:
# unhide procall
- Сравнение информации полученной из системных вызовов и /bin/ps:
# unhide sys
- Проверяет что бы информация обо всём что определяется ps была так же и в procfs, и в системных вызовах:
# unhide reverse
- Совмещает в себе proc, procfs и sys. Работает быстрее, но при этом вероятность ложных срабатываний увеличивается:
# unhide quick
Помимо общих, администратор имеет возможность запустить один из 19 базовых тестов. Это удобно, например, при использовании unhide в скриптах для выполнения конкретных проверок.
Вместе с unhide в систему устанавливается утилита unhide-tcp, которая определяет наличие скрытых активных портов в системе. Unhide-tcp сканирует все порты, и определяет есть ли среди них такие, которые ожидают соединение, но при этом не отображаются в netstat.
# unhide-tcp Unhide-tcp 20130526 Copyright © 2013 Yago Jesus & Patrick Gouin License GPLv3+ : GNU GPL version 3 or later http://www.unhide-forensics.info Used options: [*]Starting TCP checking [*]Starting UDP checking