Fui aconselhado a fazer novamente a minha pergunta no link aqui.
Eu uso o CentOS 7 e estou tentando entender o ataque de execução de comando. Eu encontrei um tutorial que descreveu uma tarefa para criar um arquivo. Simplesmente usando
cat /etc/passwd | tee -a /tmp/passwd
Deve criar uma cópia de /etc/passwd . E é (executando cat /tmp/passwd do mesmo lugar, onde eu corri o comando anterior retorna exatamente o que eu estava esperando). Mas não há /tmp/passwd se eu tentar executar este comando a partir do terminal do servidor (não do site).
Eu não configurei o apache nem o php.
Onde devo procurar os /tmp/passwd ausentes?
Como @terdon pergunta:
mount | grep tmp
retornará:
devtmpfs on /dev type devtmpfs (rw,nosuid,size=1966708k,nr_inodes=491677,mode=755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /sys/fs/cgroup type tmpfs (rw,nosuid,nodev,noexec,mode=755)
tmpfs on /run type tmpfs (rw,nosuid,nodev,mode=755)
/dev/sda7 on /tmp type xfs (rw,relatime,attr2,inode64,noquota)
/dev/sda7 on /var/tmp type xfs (rw,relatime,attr2,inode64,noquota)
No Fedora 20, o diretório que você está procurando está em uma das (possivelmente múltiplas) pastas /var/tmp/systemd-private-${FOO} . Ainda não consegui verificar isso em um sistema RHEL 7 ou CentOS 7, mas suspeito strongmente que ele esteja na mesma área de /var/tmp/systemd-private-${FOO} .
É de um recurso do systemd chamado PrivateTmp.
/var/tmp/systemd-private-*
é /var/tmp para o serviço com a opção PrivateTmp definida no arquivo .service .
/tmp/systemd-private-*
é /tmp para o serviço.
Se httpd escrever algo para /tmp , será em /tmp/systemd-private-*-httpd.service-* .
As diferenças entre /tmp e /var/tmp são
The /var/tmp directory is made available for programs that require temporary files or directories that are preserved between system reboots. Therefore, data stored in /var/tmp is more persistent than data in /tmp.
Files and directories located in /var/tmp must not be deleted when the system is booted. Although data stored in /var/tmp is typically deleted in a site-specific manner, it is recommended that deletions occur at a less frequent interval than /tmp.
Minha abordagem é encontrar o PID do processo de execução do apache
ps ax | fgrep http
Procure por alguns números PID plausíveis na coluna da esquerda. Então acesse o diretório / tmp através do caminho PID através de / proc, que é meio feio, mas economiza tempo para descobrir quem encontrou uma maneira nova e excitante de bagunçar o sistema nesta versão.
ls -l /proc/12345/root/tmp
Esses são os arquivos que o processo httpd está vendo.
Tags filesystems apache-httpd