赛门铁克已经披露了有关 SSHD 后门的详细信息,并建议转储 SSHD 进程并搜索某些特定字符串。
笔记:背景在这里:赛门铁克关于 Linux 后门的报告
我不知道如何执行转储 SSHD 进程并搜索转储的步骤。希望有人能够描述在 Fedora 等 Linux 系统上执行此操作所需遵循的步骤。
答案1
首先获取 sshd 的进程 ID,例如
ps eax | grep sshd | fgrep -v grep | cut -f 2 -d ' '
然后用它作为pid来查看流程图:
cat /proc/<pid_you_found>/maps
接下来连接到gdb您感兴趣的内存范围并转储(到文件)
gdb --pid pid_you_found
(gdb) dump memory file_name startaddr endaddr
然后您可以分析 file_name 中的字符串。
(我在所有内存范围上重复使用 python 脚本gdb,并将输出写入一个文件。)