Закрепление в ОС семейства Linux

Temchi · 04.02.2022

Приветствую! Интересуюсь внутренним устройством ОС семейства Linux построенных на базе Debian. Изучаю способы закрепления в системе (как с правами обычного юзера, так и рутовыми). Может кто на форуме знает скрытные/редкие/необычные способы закрепления в системе?
На данный момент опробовал:

Bashrc
Cron
Systemd
rc.local
Xinitrc
XDG autostart
Выполнение скрипта при подключении устройства через /etc/udev
Grub

Возможно вы знаете какие-то дополнительные фишки уже в перечисленных способах. Например в systemd помимо стандартных расположений юнитов в /etc/systemd/system есть директория /run/systemd/system, которая является заменой rc.local и не везде про неё написано в статьях про systemd. Буду рад любой помощи и идеям в какую сторону ещё смотреть/гуглить.

DildoFagins · 04.02.2022

LD_PRELOAD еще, а так да, в живой среде в малвари в основном crontab, да башевские профили.

kerberos · 04.02.2022

патченный sshd

st4s · 04.02.2022

Была недавно тема https://xss.pro/threads/60315/ (в поиске лучше писать "закреп").

Если /run/systemd считать необычным (см. man file-hierarchy разделы SYSTEM PACKAGES и USER PACKAGES) и есть доступ к GRUB, то есть ещё и initramfs.

droopy · 05.02.2022

kerberos сказал(а):

патченный sshd

не очень хороший вариант, т.к. при очередном обновлении твой бекдор исчезнет)

st4s · 06.02.2022

droopy сказал(а):

при очередном обновлении твой бекдор исчезнет

Интересно, почему именно его бекдор такой невезучий? Я плохо знаком с Debian, потому немного почитал документацию. https://manpages.debian.org/testing/dpkg/dpkg.1.en.html

--pre-invoke=command
--post-invoke=command
Set an invoke hook command to be run via “sh -c” before or after the dpkg run for the
unpack, configure, install, triggers-only, remove, purge, add-architecture and remove-
architecture dpkg actions (since dpkg 1.15.4; add-architecture and remove-architecture
actions since dpkg 1.17.19). This option can be specified multiple times. The order the
options are specified is preserved, with the ones from the configuration files taking
precedence. The environment variable DPKG_HOOK_ACTION is set for the hooks to the current
dpkg action.

Опцию не обязательно указывать в командной строке, можно сохранить в один из файлов:
/etc/dpkg/dpkg.cfg.d/[0-9a-zA-Z_-]*
/etc/dpkg/dpkg.cfg
~/.dpkg.cfg

Harbour · 06.02.2022

sshd нужно патчить каждый раз с выходом новой версии, так как в баннере при коннекте вываливается версия. взлом легко палится любым сканером если тупо копировать старый бинарник поверх нового

reeves · 06.02.2022

посмотри в сторону еще:
1. PAM модули (точнее бэкдоры на основе пам модулей)- быстро, дешево, сердито.
2. LKM хакинга - фактически руткиты, вот тут чувак отлично разжевывает https://t.me/proxy_bar/530

varwar · 07.02.2022

Модификации конфигов сервисов в /etc/init.d/
Простой пример с модификацией конфига /etc/init.d/ssh (можно выбрать любой по вкусу)
В начале файла (либо где-то еще) добавляем строчку.

Bash:

echo "Hello from backdoor!" > /home/varwar/backdoor.txt

Bash:

root@v:/etc/init.d# service ssh restart
 * Restarting OpenBSD Secure Shell server sshd                                                         [ OK ]
root@v:/etc/init.d# cat /home/varwar/backdoor.txt
Hello from backdoor!

Тема боян, но в ebmedded встречалась. И да, потребуется рут скорее всего.

Закрепление в ОС семейства Linux

Temchi

CD-диск

DildoFagins

TPU unit

kerberos

CPU register

st4s

RAM

droopy

floppy-диск

st4s

RAM

Harbour

(L3) cache

reeves

(L2) cache

varwar

El Diff