Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Скрыть скрипт из процессов в nix (https://forum.antichat.xyz/showthread.php?t=460951)

blackbox 02.03.2018 11:40
Продублирую: у меня есть линукс-машина и на ней скрипт в кроне, который мониторит исполнение программы на ней и по надобности заново поднимает программу. Каким образом можно сделать наименее заметным присутствие скрипта и программы в процессах? Доступ веб-серверский. Да, и еще, где лучше хранить свои файлы, если ты веб-сервер (просто юзер), чтобы их не потерли (как например в /var/tmp).

dmax0fw 06.03.2018 21:43
Цитата:
Сообщение от blackbox
blackbox said:

Да, и еще, где лучше хранить свои файлы, если ты веб-сервер (просто юзер), чтобы их не потерли (как например в /var/tmp).
Код:
Code:
find / -type d -writable
а там по ситуации

Цитата:
Сообщение от blackbox
blackbox said:

Каким образом можно сделать наименее заметным присутствие скрипта и программы в процессах?
как вариант argv[0] перезаписать, это сбивает с толку среднего админа

POC:

Код:
Code:
#include

int main(int argc,char *argv[]) {

    char *PROC_NAME = "/usr/bin/something";
    strncpy(argv[0],PROC_NAME,strlen(argv[0]));
    sleep(30);

    return 0;
}
только нужно учитывать, что strlen(argv[0]) должен быть >= strlen(PROC_NAME), иначе новое имя запишется не полностью. чтобы этого достичь,желательно запускать бинарь по абсолютному пути а не по относительному, тогда места должно хватить, ну а если вдруг ты решил записать в PROC_NAME очень длинную строку, то сам бинарь всегда можно положить поглубже в ФС, чем глубже он будет лежать,тем больше памяти будет выделено для argv[0] а следовательно тем более длинное имя процесса можно туда записать


Время: 05:52