Скрыть скрипт из процессов в nix

Discussion in 'Уязвимости' started by blackbox, 2 Mar 2018.

  1. blackbox

    blackbox Elder - Старейшина

    Joined:
    31 Dec 2011
    Messages:
    364
    Likes Received:
    62
    Reputations:
    11
    Продублирую: у меня есть линукс-машина и на ней скрипт в кроне, который мониторит исполнение программы на ней и по надобности заново поднимает программу. Каким образом можно сделать наименее заметным присутствие скрипта и программы в процессах? Доступ веб-серверский. Да, и еще, где лучше хранить свои файлы, если ты веб-сервер (просто юзер), чтобы их не потерли (как например в /var/tmp).
     
    #1 blackbox, 2 Mar 2018
    Last edited: 2 Mar 2018
  2. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    Code:
    find / -type d -writable
    а там по ситуации
    как вариант argv[0] перезаписать, это сбивает с толку среднего админа
    POC:
    Code:
    #include <stdio.h>
    
    int main(int argc,char *argv[]) {
    
        char *PROC_NAME = "/usr/bin/something";
        strncpy(argv[0],PROC_NAME,strlen(argv[0]));
        sleep(30);
    
        return 0;
    }
    
    только нужно учитывать, что strlen(argv[0]) должен быть >= strlen(PROC_NAME), иначе новое имя запишется не полностью. чтобы этого достичь,желательно запускать бинарь по абсолютному пути а не по относительному, тогда места должно хватить, ну а если вдруг ты решил записать в PROC_NAME очень длинную строку, то сам бинарь всегда можно положить поглубже в ФС, чем глубже он будет лежать,тем больше памяти будет выделено для argv[0] а следовательно тем более длинное имя процесса можно туда записать
     
    #2 dmax0fw, 6 Mar 2018
    Last edited: 6 Mar 2018
    Coder xani and blackbox like this.
Loading...