我们的系统被黑了。
攻击者使用LD_Preload预加载.so文件以修改标准/usr/bin/host文件。
修改之后,它发动了野蛮攻击。
有人知道我如何看到为特定用户加载的环境中的LD_Preload设置吗?
谢谢。
最佳答案
可以使用此脚本在使用username枚举的进程环境中搜索值。
#!/bin/sh
ID=$(id -u "$1") && \
for DIR in /proc/[0-9]*; do
[ -d "$DIR" ] && [ -r "$DIR/environ" ] && [ -r "$DIR/loginuid" ] || continue
read I < "$DIR/loginuid"; [ "$I" -eq "$ID" ] || continue
echo "---- $DIR ----"
grep -zZhFe LD_PRELOAD "$DIR/environ" | tr '\0' '\n'
done
用法:
sh script.sh apache
您可以使用它在所有进程中搜索:
#!/bin/sh
for DIR in /proc/[0-9]*; do
[ -d "$DIR" ] && [ -r "$DIR/environ" ] || continue
echo "---- $DIR ----"
grep -zZhFe LD_PRELOAD "$DIR/environ" | tr '\0' '\n'
done
关于linux - 系统被黑的LD Preload修改了/usr/bin/host,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/25381146/