Gravit Dec 19 2017 at 16:48

Меняем PID процесса в Linux с помощью модуля ядра

4 min

11K

*nix*C*Abnormal programming*Programming*

+28

Comments 20

brrr Dec 19 2017 at 17:34

То ли статья обрывается, то ли я не понял: какой вывод и зачем это надо?

Gravit Dec 19 2017 at 17:45

На этот вопрос каждый ответит по своему. Кому-то(как мне) было очень интересно написать такой модуль и получить неожиданные результаты. Кому-то — прочитать об этом и попробывать самим. Что касается вывода — спасибо за замечание, исправлюсь.

arheops Dec 20 2017 at 05:00

Тоесть вы только что нашли критичную ошибку ядра линукс(стандартные ps/psmisc не видят процесс, запущенный стандартным образом) и вот так свободно об этом на всеобщее обозрение выложили статью?
Замечательный метод для руткитов.
А побочные эффекты есть? Выделение памяти/ресурсов? renicing/schedulering? top что показывает при 100% загрузки ядра этим процессом например?

EvilMan Dec 20 2017 at 11:48

Чтобы это провернуть, надо сначала этот кастомный модуль ядра загрузить. А для этого уже нужны особые привилегии. Критической ошибкой не является.

arheops Dec 20 2017 at 11:49

Не особые, а рутовые. Но вопрос не в доступе к руту, есть куча других експлоитов. Вопрос в том, что процесс невидим после этого хака.

Gravit Dec 20 2017 at 11:58

Если вы можете загрузить любой модуль ядра — считайте, что все в ваших руках. У вас есть тысяча и одна способов обмануть стандартные приложения, системы защиты, пользователей и получить полный контроль над системой.

arheops Dec 20 2017 at 12:12

Выглядит, конечно, странно. Наверно так, поскольку нет записи в /proc/.
В подсчете загрузки участвует, но записи нету.

А вот если в нем запустить чтото еще, то это уже видно.

KivApple May 13 2022 at 18:16

Если вы можете загрузить модуль ядра, то вы уже можете всё. Вам даже не обязательно скрывать какой либо процесс, можно все желаемые действия выполнять из самого модуля.

AntonAlekseevich Dec 20 2017 at 05:38

Интересно, а это будет работать от имени простого пользователя? (Это же как нелегальная эскалация на кольцо 0 получается. Если PID/PPID можно изменить на 0. (Хотя в обоих случаях могу ошибаться.))

kmeaw Dec 20 2017 at 10:43

Никак, обычный пользователь не сможет загрузить такой модуль ядра.

AntonAlekseevich Dec 20 2017 at 14:18

Имеется ввиду после загрузки модуля рутом.

Gravit Dec 20 2017 at 15:51

Зависит от прав, выставленных на устройство /dev/test. Если читать можно(модуль работает на чтение) то pid изменится. В планах реализовать смену pid через запись, найти бы нужную функцию для преобразования в число. Процесс в пользовательском пространстве, так и останется.

lorc Dec 20 2017 at 16:00

хм. atoi()? Вообще, я бы сделал через procfs или sysfs. Там есть нужные примитивы для работы со строками, которые приходят из юзерспейса.

lorc Dec 20 2017 at 15:59

Ну если рут грузит в ядро код, который позволяет делать с ядром что угодно и кому угодно…
Никакой дополнительной защиты тут нет. Разработчики ядра считают что вы знаете что делаете.

alex-pat Dec 20 2017 at 12:01

Знаете, я несколько сомневаюсь, что подобные эксперименты стоит выставлять на показ общественности, даже под тэгом 'ненормальное программирование'. Я уже молчу о большом количестве неточностей в матчасти, и сомнительном выборе в сторону модуля в качестве реализации.

MooNDeaR Dec 20 2017 at 12:34

А kill убивает невидимый процесс или нет?

Gravit Dec 20 2017 at 12:40

Он его просто не находит
-bash: kill: (12345) - No such process

MooNDeaR Dec 20 2017 at 15:48

Вот это дыра :) Я понимаю, что если получен рут доступ — это считай компроментация всей системы. Но теперь можно его получить, затереть все следы и скрыть своё присутствие практически навсегда + сделать невозможным своё уничтожение.

lorc Dec 20 2017 at 16:02

Все руткиты делают именно это. В том или ином виде. Правильно установленный руткит изнутри системы задетектить невозможно. Только исследуя систему снаружи.

kazenniy Feb 16 2018 at 14:02

Любопытное наблюдение, на ядре 4.13 (ubuntu) это сработало, а на ядре 4.9 (arch) нет. PID просто не поменялся.