Linux系统权限配置本身不是程序,不能“逆向”,但攻击者常通过篡改权限(如滥用SUID、放宽脚本执行权限、劫持启动项)为恶意脚本铺路;所谓“权限配置的逆向工程”,实质是从恶意行为出发,反向追踪其依赖的SUID/SGID漏洞、noexec缺失挂载点及过度宽松的定时任务等配置弱点,并结合进程行为与审计日志还原完整攻击链条。
Linux系统权限配置本身不是程序,不能“逆向”,但攻击者常通过篡改权限(如滥用SUID、放宽脚本执行权限、劫持启动项)为恶意脚本铺路。所谓“权限配置的逆向工程”,实质是回溯分析:从已发现的恶意行为出发,反向追踪其依赖的权限漏洞和配置弱点。
恶意脚本往往不直接提权,而是利用已有权限缺陷扩大控制面。重点排查三类配置:
find / -perm -4000 -type f 2>/dev/null快速定位。noexec挂载,脚本可直接在此处生成并执行,绕过常规路径限制。/etc/crontab、/var/spool/cron/及/etc/rc.local中是否混入可疑命令,尤其含wget、curl、base64 -d等调用。运行中的恶意脚本会暴露其权限依赖方式:
ps auxf或systemctl status观察异常进程的UID/GID与其父进程不一致,提示可能通过SUID程序派生。lsof -p PID查看进程打开的文件——若普通用户进程正写入/etc/crontab或/etc/systemd/system/,说明已突破写权限限制。cat /proc/PID/status | grep CapEff检查是否获得非预期能力(如cap_sys_admin),这往往是内核模块或SUID二进制触发的结果。关键日志能串联起“配置漏洞→脚本执行→持久化”的完整链条:
execve调用中解释器路径为/tmp/xxx.sh或/dev/shm/,再向上追溯该脚本由哪个SUID程序启动。sudo或su异常记录,尤其关注非交互式调用(如echo "pass" | sudo -S ...),可能指向凭证硬编码或PAM配置被篡改。systemd-logind或sshd中同一IP短时间内多次失败后成功登录,结合lastlog确认是否新建了隐蔽用户。找到线索后,需验证并收紧底层权限配置:
/tmp等目录重新挂载:mount -o remount,noexec,nosuid,nodev /tmp,并写入/etc/fstab固化。chmod u-s /path/to/suspicious_binary,除非明确知晓其用途且无法替代。/etc/ssh/sshd_config中设置ForceCommand限制用户仅能运行白名单命令,或使用rbash受限shell。