简谈SUID提权

SUID 权限提升的风险很高。
早期版本的 nmap 可以在交互模式下提升权限,SUID 可以以 root 身份运行,vim SUID 可以读取系统文件,bash-p 可以直接 root shell,可以 shell 更小或更大的文件,nano Ctrl+R 可以提升权限,cp 可以覆盖 passwd,awk 可以进入 shell。
预防措施应包括定期检查 SUID 文件和更新权限。

LINUX中suid,sgid是用来干嘛的?怎么使用?

suid 是SetUserID。
SGID,设置组ID。
这两个在Unix系统中非常重要。

如果你想查看文件权限是什么,只需使用 ls -l 命令即可。
例如,如果运行 ls -l myfile,您将看到如下输出:
-rwxr-xr-x 1 foo 工作人员 7 7 3 4 4 月 5 日 1 7 :07 myfile
这是什么?他会在没有我的情况下见到你。
首先,myfile是一个普通文件,不是目录或链接。
所有者名为 foo,属于 Staff 组。
该硬文件有1 个链接,大小为7 7 3 4 字节,最后修改时间为4 月5 日1 7 :07
权限,man foo具有读、写、执行该文件的能力。
群组内的人可以阅读和编辑,但其他人没有权限。

现在重要的一点来了。
如果文件设置了SUID位,那么所有者的权限将成为可执行位的特殊权限。
SGID也是如此,但只适用于同一组的用户。
说白了,就是指某些人(所有者或同一组)拥有更高的执行该文件的权限。

例如,如果一个可执行文件设置了suid,那么当用户运行程序foo时,该程序将拥有其普通用户权限的权限。
这在 Unix 系统中很常见。
例如,Suid系统中使用了一些工具。

如果要设置SUD或SGID,只需使用chmod命令即可。
例如:

Suid put:chmod u+s 文件名
Suid 删除:chmod u-s 文件名
设置SGID:chmod g+s 文件名
删除SGID: chmod g -s name
另一种方法是使用八进制数字来表示权限。
例如:

Suid put: chmod 4 7 5 5 文件名
设置SGID:chmod 2 7 5 5 name
但这两位是在第9 位和第1 0位。
在 ls -l 输出的许可证字符串中,SUID 对应于第 9 个位置的第一个字符。
如果是s,则表示SUId位被设置。
如果是x,则表示没有设置。
这同样适用于 SGID,请参见第 9 个位置的第二个字符。

所以这两位非常重要,使用时要小心。
特别是,SUID 如果操作不当,可能会导致安全问题。

服务器被黑?一文掌握系统入侵排查,建议收藏

上周我看到一个案例。
2 02 3 年 5 月,该公司遭到黑客攻击。

他们的调查非常系统。
浏览所有九个链接。

首先是收集基本信息。
使用 cat /etc/os-release 查看系统版本。
使用 netstat -tulnp 检查网络连接。
发现异常监听端口。

第二是检查帐户。
使用 cat /etc/passwd 列出所有用户。
发现可疑的新帐户。
使用 find /etc -name passwd -mtime -7 检查最近更改的文件。

第三是过程监控。
使用 ps -ef 查看所有进程。
top 命令发现一个 CPU 使用率异常高的进程。
这是一个挖矿木马。

四是文件扫描。
使用 find / -type f -mtime -7 检查最近更改的文件。
发现后门脚本。
我还安装了 ClamAV 进行病毒扫描。

第五是日志分析。
我查看了 /var/log/messages 和 /var/log/secure。
发现有很多暴力破解的记录。
我还使用ausearch来检查审计日志。

第六是任务规划。
检查/etc/crontab 和用户crontab。
发现计划任务执行可疑命令。

第七是网络流量。
安装了iftop进行实时流量监控。
发现某个IP发出大量出站连接。
这将是发送的数据。

第八是检查数据库。
登录MySQL并查看所有数据库。
发现有人创建了恶意版块。

最后一步是提高安全性。
恶意文件已被删除。
异常进程已终止。
系统补丁也已更新。

然后他们安排了每月自动检查。
主日志备份到其他服务器。
还发出了紧急指示。

我的朋友说这些步骤确实有效。
但他们花了两天时间才找到。

算了。
由你决定。