操作系统进程创建的监控:异常父子进程检测
摘要:# 服务器上那个“生娃”的动作,可能正在出卖你 我得先跟你坦白,我见过太多搞安全的哥们,防火墙、WAF、高防IP买了一大堆,结果栽在了一个最不起眼的地方——就是服务器上那些进程“生娃”的动作。 你可能会觉得,进程创建嘛,不就是个正常的系统操作?这话对,…
服务器上那个“生娃”的动作,可能正在出卖你
我得先跟你坦白,我见过太多搞安全的哥们,防火墙、WAF、高防IP买了一大堆,结果栽在了一个最不起眼的地方——就是服务器上那些进程“生娃”的动作。
你可能会觉得,进程创建嘛,不就是个正常的系统操作?这话对,也不对。想象一下,你家的监控只盯着大门有没有人破门而入,结果小偷是从你家后院的狗洞里爬进来的。操作系统里那些异常的父子进程关系,很多时候就是那个“狗洞”。
一、进程“生娃”这事,为啥得盯着?
说白了,咱们的服务器就是个大家庭,正常的进程就像家里的成员,谁生谁、谁管谁,都有个谱儿。系统服务生个日志进程,Web服务生个处理请求的子进程,这都正常。
但要是突然冒出来个“怪胎”呢?
比如,你那个老老实实的nginx进程,突然生了个bash shell出来。这就像你家那个只会做饭的电饭煲,突然开始给你念诗一样离谱。nginx要bash干嘛?它连炒个菜都不会。
我自己在排查一个客户服务器被黑事件时就遇到过。攻击者已经拿到了一个低权限的shell,但他在提权时,用了些非常规手段——通过一个看似正常的系统进程,去“生”出一个高权限的恶意子进程。要不是当时我多看了一眼进程树,还真发现不了这种“借壳生蛋”的把戏。
很多所谓的“高级防护”,其实都忽略了这种最底层的异常信号。
二、常见的“异常父子关系”长啥样?
别被术语吓到,我给你举几个活生生的例子,你一看就懂:
-
“爹不像爹,儿不像儿”型
- 场景: 一个平时只负责记录日志的进程(比如syslogd),突然生出了一个网络连接进程(比如netcat)。
- 人话解读: 你家的记事本突然自己长出手来,开始翻箱倒柜。这摆明了是有人(恶意脚本或攻击者)在利用这个“老实人”进程干坏事,试图建立隐蔽通道往外传数据。
-
“短命鬼”连环套型
- 场景: 进程A生出了进程B,然后A立刻死亡;进程B又立刻生出进程C,然后B也死了。如此循环。
- 人话解读: 这叫“进程链跳板”,是很多挖矿木马和高级后门喜欢玩的把戏。就像犯罪分子不断换车,让你追查起来特别费劲。目的就是隐藏真正的幕后主使(最终的恶意进程)。
-
“权限乱伦”型
- 场景: 一个以普通用户身份运行的进程(比如你的网站程序),居然生出了一个以root权限运行的子进程。
- 人话解读: 这通常是提权成功的标志。你家保姆突然用你的身份证去银行开了个保险柜,这还不值得警惕吗?十有八九是系统有漏洞被利用了。
-
“名不副实”型
- 场景: 进程名字看起来人畜无害(比如叫
java-updater),但它爹却是crontab(定时任务),或者它生的儿子叫minerd(挖矿程序)。 - 人话解读: 这就是典型的“挂羊头卖狗肉”。攻击者把恶意程序伪装成系统更新程序,通过定时任务启动,然后偷偷挖矿。只看名字容易上当,但看看它的“家族关系”,狐狸尾巴就露出来了。
- 场景: 进程名字看起来人畜无害(比如叫
三、怎么监控?别想得太复杂
我知道,一提到监控,很多人头就大了,以为要上什么复杂的商业软件或者写天书一样的脚本。其实不然,很多有效的方法就藏在系统自带的工具里。
1. 手工排查(应急时用) 对于Linux,你随时可以打开终端,敲一句:
pstree -p或者
ps auxf这就像给你的服务器进程拍一张“全家福”,谁是谁爹,一目了然。多拍几张(隔一段时间),对比一下,看看有没有突然多出来的“陌生面孔”或者“混乱的辈分关系”。Windows下也有 Process Explorer 这样的神器,图形化显示进程树,比系统自带的任务管理器清楚多了。
2. 轻量级监控(日常用)
写个简单的Shell脚本,定期(比如每分钟)用 ps 或 proc 文件系统抓一下进程树,和上一次的结果做个 diff(比较差异)。把异常的变化(比如刚才说的那些类型)记录到日志,甚至发个告警邮件给你。
这脚本网上有很多现成的轮子,改改就能用,真没你想的那么难。关键是,你得有这个意识去收集这些数据。
3. 专业工具(不差钱或要求高时用) 如果你管理的服务器多,或者业务特别重要,可以考虑更专业的方案。比如:
- Auditd(Linux审计框架): 系统自带的“黑匣子”,可以详细记录每一个进程创建的事件(谁、什么时候、以什么权限、执行了什么程序)。配置好了,它就是一本详细的“出生证明”登记册。
- OSQuery(Facebook开源): 可以把你的服务器操作系统变成一个“数据库”,用SQL语句来查询进程信息。比如写一句查询:“找出所有父进程是Web服务,但子进程是bash的记录”,非常灵活。
- EDR(端点检测与响应)产品: 这属于“豪华套餐”了,集成了行为监控、威胁情报、自动响应等功能。它们的一大核心能力,就是基于进程行为链(包括父子关系)来发现高级威胁。
四、光监控就够了吗?当然不!
监控只是“眼睛”,看到了问题,你得有“手”去解决。
- 建立基线: 你得先知道你的服务器“正常”的时候长什么样。在业务平稳期,记录下正常的进程树、常见的父子关系。这样,异常来了你才能一眼认出来。
- 设置白名单: 对于核心业务服务器,可以采取更严格的策略。只允许已知的、必要的父子进程关系存在。其他的,一律报警并阻断。这就像给你家的门禁设置白名单,不是家人,甭想进。
- 关联分析: 别孤立地看进程创建。把它和网络连接(是不是连到了奇怪的外网IP)、文件操作(是不是在敏感目录写入了新文件)、用户行为(是不是在非工作时间)结合起来看。一个点异常可能是误报,多个点同时异常,那基本就是实锤了。
- 定期狩猎: 别等告警。安全团队应该定期(比如每周)主动去翻看这些进程创建日志,像猎人一样寻找那些隐藏得很深的异常痕迹。很多高级攻击,告警规则可能暂时没覆盖到,但人眼能看出来。
五、几句大实话
最后,说点掏心窝子的。
- 别迷信“高大上”: 很多企业花大价钱买了安全设备,却连自己服务器上最基本的进程行为都说不清楚。防护就像木桶,别让“进程监控”这块板子太短。
- 从简单开始: 如果你从来没做过,别怕。今天下班前,就登上一台服务器,敲个
pstree看看。先培养感觉,比什么都重要。 - 这招防什么? 它防的不是那种“咣咣咣”砸你门的DDoS,而是防那些已经溜进来、正在你家里悄悄搞破坏的“内鬼”。对于 webshell 提权、内网横向移动、持久化后门,异常进程检测往往是最后一道,也是最有效的防线之一。
你的服务器,那些进程们每天都在“生娃”。有些娃是亲生的,干活用的;有些娃,可能是别人偷偷塞进来的“特洛伊木马”。
是时候去看看你的“进程家族”是否健康了。心里没底的话,现在就打开终端吧。