我们的系统被黑了。
攻击者使用LD_Preload预加载.so文件以修改标准的/ usr / bin / host文件。
修改了lauchnes暴力攻击后。
有谁知道我如何看到特定用户在环境中加载的LD_Preload设置?
感谢。
答案 0 :(得分:1)
您可以使用此脚本在使用用户名枚举的进程的环境中搜索值。
#!/bin/sh
ID=$(id -u "$1") && \
for DIR in /proc/[0-9]*; do
[ -d "$DIR" ] && [ -r "$DIR/environ" ] && [ -r "$DIR/loginuid" ] || continue
read I < "$DIR/loginuid"; [ "$I" -eq "$ID" ] || continue
echo "---- $DIR ----"
grep -zZhFe LD_PRELOAD "$DIR/environ" | tr '\0' '\n'
done
用法:
sh script.sh apache
您可以使用它来搜索所有进程:
#!/bin/sh
for DIR in /proc/[0-9]*; do
[ -d "$DIR" ] && [ -r "$DIR/environ" ] || continue
echo "---- $DIR ----"
grep -zZhFe LD_PRELOAD "$DIR/environ" | tr '\0' '\n'
done