Комментарии 11
> Код выше использует memfd, создает дочерний процесс, направляет его вывод на stdout, ожидает завершения дочернего процесса и, наконец, считывает вывод дочернего процесса.
Скорее «создает дочерний процесс, направляет его вывод во временный файл, ожидает завершения дочернего процесса и считывает его вывод из временного файла».
Скорее «создает дочерний процесс, направляет его вывод во временный файл, ожидает завершения дочернего процесса и считывает его вывод из временного файла».
Извините, по диагонали читал. Допустим, работает мой php под пользователем www-data. Допустим, он вполне способен форкнуть процесс (с дефолтными настройками это действительно так). Допустим, у нас есть шелл под www-data (дочерний процесс ведь будет создан с теми же правами, правильно)? Что сильно плохого эта конструкция будет делать — подбирать пароли по радужным таблицам?
Очевидно, что в *nix можно запускать исполняемые файлы откуда угодно (хоть из RAM, хоть с сокета напрямую), эксплойта в этом нет. Если злоумышленник может выполнять произвольный код на машине, у нас всё равно проблемы, даже если закрыть (неочевидно, как) эту возможность — майнить можно и на языке, к которому получен доступ. Короче говоря, лучше предотвращать всеми возможными способами возможность RCE, а не заморачиваться с бездисковым исполнением ELF.
Справедливости ради, запуск из memfd не имеет ничего общего с тем, что называют fileless malware в windows.
Вот только не надо притаскивать стоны по поводу «пренебрегают антивирусами». Не «пренебрегают», а считают вредоносным ПО с непредсказуемым поведением но гарантированным пенальти по производительности.
Я серьёзно хочу представить себе антивирус на среднем хосте, использующимся как LAMP. Вот работает себе haproxy, прям надрывается, старается linespeed сделать. Тут приходит товарищ с сигнатурами и начинает 20Гбит http вместе с бинарником сканировать. Просто офигенная картинка.
Старт postgres для базы в 200-300Гб тоже представляется удвительно увлекательным зрелищем в контексте наличия антивируса.
… А главное, современный подход к приложениям в linux подразумевает sandbox'инг всего ПО, которое касается входных (непроверенных) данных. И вот берём мы антивирус (который всего этого, мягко говоря, касается) и помещаем его в user/file namespace, без capabilities, с приватным root'ом, приватным network namespace, запускаем из под временного nobody, и сидит наш антивирус, и смотрит на пустоту…
Я серьёзно хочу представить себе антивирус на среднем хосте, использующимся как LAMP. Вот работает себе haproxy, прям надрывается, старается linespeed сделать. Тут приходит товарищ с сигнатурами и начинает 20Гбит http вместе с бинарником сканировать. Просто офигенная картинка.
Старт postgres для базы в 200-300Гб тоже представляется удвительно увлекательным зрелищем в контексте наличия антивируса.
… А главное, современный подход к приложениям в linux подразумевает sandbox'инг всего ПО, которое касается входных (непроверенных) данных. И вот берём мы антивирус (который всего этого, мягко говоря, касается) и помещаем его в user/file namespace, без capabilities, с приватным root'ом, приватным network namespace, запускаем из под временного nobody, и сидит наш антивирус, и смотрит на пустоту…
спасибо.
пробую прятать процессы, но пока ен завершились, они всё равно же видны в /proc/self/fd/ = а какие варианты ещё и их спрятать?
пробую прятать процессы, но пока ен завершились, они всё равно же видны в /proc/self/fd/ = а какие варианты ещё и их спрятать?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Эльфы в памяти. Выполнение ELF в оперативной памяти Linux