linux 入侵检测 经验一则

今天在折腾64位linux localroot本地提权exp的时候，发现成功提权之后（具体哪个exp有兴趣的同学自己去验证），dmesg信息里会出现PPP generic driver version 2.4.2这条信息。如果你知道这个信息本应该在啥时候出现的话，就可以判断在一个生产系统里出现这个信息绝大多数是异常的。另外在提权失败的时候，还会 有一些其他印迹。

HIDS的设计需要足够灵活以加入这个逻辑。

搞嘿嘿同学们也注意了，擦脚印得擦的干净些，清理dmesg的命令是dmesg -c，得到root之后才有权限 ：）