Como descarregar o processo SSHD e procurar por strings

2

A Symantec divulgou detalhes em um backdoor do SSHD e sugere que você baixe o processo do SSHD e pesquise algumas cadeias específicas.

NOTA: Contexto aqui: Symantec relatório sobre o Linux Back Door

Não tenho ideia de como executar as etapas para despejar o processo SSHD e pesquisar o despejo. Esperando que alguém possa descrever os passos que se seguiria para fazer isso em um sistema Linux como o Fedora.

    
por Eureka Ikara 15.11.2013 / 12:36

1 resposta

2

Primeiro, obtenha o ID do processo para o sshd, por ex. com

ps eax | grep sshd | fgrep -v grep | cut -f 2 -d ' '

Use então como pid para ver o mapa do processo:

cat /proc/<pid_you_found>/maps

Em seguida, conecte-se com gdb ao intervalo de memória de seu interesse e dump (para arquivar)

gdb --pid pid_you_found
(gdb) dump memory file_name startaddr endaddr

Você pode analisar as sequências no file_name.

(Eu uso um script python para a parte gdb repetidamente em todos os intervalos de memória e escrevo a saída para um arquivo.)

    
por 15.11.2013 / 12:52

Tags