Çağıran betiği Linux'ta nasıl görebilirim [kapalı]

Bilgisayar güvenliğine yardımcı olacak bir komut dosyası yazmaya çalışıyorum. Açık bağlantı noktaları aramaya, PID'yi bulmaya ve aradığını bulmaya çalışıyorum.

Çalışıyor, çıktılarım şöyle görünüyor:

IPV4 - 1234 - 2566 / nc

Kaçan: /bin/nc.openbsd

Komut çalıştırma: nc -l 1234

Ancak, arka kapıları aramanın doğasında, bilgisayarımda bir yerde, buna çağıracak bir senaryo olabilir nc. ncOrijinal betiklerin konumunu bulmak PID'den mümkün mü ?

Diyelim ki /etc/rc.localçizgiyi koydum, nc -l 1234bana nckomutun açıldığını söyleyecek bir şey alabilir miyim /etc/rc.local?

Teşekkürler!

Not: Bir Linux problemi olması nedeniyle betiğimdeki bir problemden dolayı bunun yığın akışı yerine daha uygun olduğunu hissettim.

— zer0w1re
kaynak

Unix ve Linux size iyi bir cevap verebilir.

— Tim

Teşekkürler Tim, orada sormaya çalışacağım. Umarım böyle bir yazıyı atmak kurallara aykırı değildir ... sadece kısaca kurallara baktım ve bir şey söylediğini görmedim.

— zer0w1,

Biraz bekleyene kadar cesareti kırılabilir, ancak yanlış bir şey olmamalıdır. Bazı farklı cevaplar alabilirsiniz.

— Tim

@Tim Çapraz gönderme edilir böylece bunu yapmak için kullanıcılar söyleme lütfen, cesaretini. Onlara, eğer bir soru yayınladılarsa ve iki gün içinde bir cevap alamadılarsa, oraya göç etmeleri için dikkatini çekebileceklerini açıklayabilirler, ancak lütfen yinelemelerine izin vermeyin. Anlayışın için teşekkürler.

— slhck

Çapraz gönderim için kapalı.

— slhck

Yanıtlar:

Ana İşlemin PID'sini almak için aşağıdaki komutu kullanabilirsiniz:

ps -ef

Size her iki PID'yi de içeren bir işlem listesi verecektir.

Komut bir komut dosyasından başlatıldıysa, komutun döndürdüğü PPID (üst işlem kimliği), onu başlatan komut dosyasının PID'si olur.

— Marianna
kaynak

PPID, betiğin bulunduğu yer yerine yalnızca "bash" değerini gösterir.

— zer0w1,

ps bir ton seçeneklere sahiptir. Ayrıca ps axjf'i deneyebilirsiniz. Ama bu size komut dosyası uyumlu bilgi vermez. İstediğiniz bilgileri tam olarak almak için bazı komutları bir araya getirmeniz gerekebilir. Senaryoyu sizin için yazmak istemedim ama sizi doğru yöne işaret etmek istedim.

— Marianna

Ayrıca, nc gibi şüpheli bir ad girmenin genellikle başarısız olacağını düşünmelisiniz. Exploits'ler genellikle çalışan her sistemde bulunan "init" gibi göze çarpmayan bir ismin arkasına gizlenir. Netstat ile açık bağlantı noktaları aramak daha iyidir ve bir araç olarak her şeyi unutmayın.

— Marianna

Aşağıdakileri kullanarak sona erdi:

grep -r "$command" $(ls -l /proc/$pid/cwd | awk '{ print $11 }') | awk -F: '{ print $1 }'

Nerede $command="$(cat /proc/$pid/cmdline | sed 's\x0/ g' | sed 's/.$//')"

Hangi nükseden çalışan nc komutunu içeren dosyayı bulmak için komut dosyası içinde bulunduğu dizindeki dosyaları gözden geçirir.

Biraz dağınık görünüyor, bu yüzden eğer biri onu temizlemede yardımcı olabilirse, bu harika olurdu :)

Yardımlarınız için teşekkürler!

— zer0w1re
kaynak