V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
morphyhu
V2EX  ›  程序员

阿里的轻量云发现有一个这样的 LKM 模块.

  •  1
     
  •   morphyhu · 194 天前 · 1800 次点击
    这是一个创建于 194 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [[email protected] ~]# lsmod
    Module Size Used by
    AliSecGuard 22180 2 <-------
    nfit 55016 0
    libnvdimm 147731 1 nfit
    iosf_mbi 15582 0
    crc32_pclmul 13133 0
    ghash_clmulni_intel 13273 0
    ppdev 17671 0
    aesni_intel 189415 0
    lrw 13286 1 aesni_intel
    gf128mul 15139 1 lrw
    glue_helper 13990 1 aesni_intel
    ablk_helper 13597 1 aesni_intel
    cryptd 21190 3 ghash_clmulni_intel,aesni_intel,ablk_helper
    virtio_balloon 18015 0
    joydev 17389 0
    pcspkr 12718 0
    parport_pc 28205 0
    parport 46395 2 ppdev,parport_pc
    i2c_piix4 22401 0
    ip_tables 27126 0
    ext4 579979 1
    mbcache 14958 1 ext4
    jbd2 107478 1 ext4
    ata_generic 12923 0
    pata_acpi 13053 0
    virtio_blk 18222 2
    virtio_console 28076 1
    virtio_net 28063 0
    cirrus 24377 1
    drm_kms_helper 179394 1 cirrus
    syscopyarea 12529 1 drm_kms_helper
    sysfillrect 12701 1 drm_kms_helper
    sysimgblt 12640 1 drm_kms_helper
    fb_sys_fops 12703 1 drm_kms_helper
    ttm 114635 1 cirrus
    ata_piix 35052 0
    drm 429744 4 ttm,drm_kms_helper,cirrus
    libata 243133 3 pata_acpi,ata_generic,ata_piix
    crct10dif_pclmul 14307 0
    crct10dif_common 12595 1 crct10dif_pclmul
    crc32c_intel 22094 0
    floppy 69432 0
    serio_raw 13434 0
    virtio_pci 22985 0
    virtio_ring 22746 5 virtio_blk,virtio_net,virtio_pci,virtio_balloon,virtio_console
    virtio 14959 5 virtio_blk,virtio_net,virtio_pci,virtio_balloon,virtio_console
    drm_panel_orientation_quirks 12957 1 drm

    问题来了,安全模块为何要用 LKM 的方式加载?真的是用于安全吗?
    16 条回复    2022-07-29 16:43:07 +08:00
    heiher
        1
    heiher  
       194 天前 via Android
    靠,这东西都做了什么???
    l2d
        2
    l2d  
       194 天前   ❤️ 1
    不然呢?要不先看看目前主流的 HIDS 都是怎么实现的...?
    你做 rootkit 检测, 监控 cred 变化情况都得用 LKM 。而且用 kprobe 检测系统调用也是要 lkm 加载检测模块的啊。
    fengjianxinghun
        3
    fengjianxinghun  
       194 天前
    云盾安骑士核心驱动,懂得都懂,ftrace hook 了一些东西
    morphyhu
        4
    morphyhu  
    OP
       194 天前
    @l2d 问题是 rootkit 存在, AliSecGuard 根本没检测出来. 感觉这玩意有其它的用途.
    morphyhu
        5
    morphyhu  
    OP
       194 天前
    [[email protected] ~]# rmmod AliSecGuard
    rmmod: ERROR: Module AliSecGuard is in use

    请教如何彻底移除??
    morphyhu
        6
    morphyhu  
    OP
       194 天前
    Google 到了

    /usr/local/aegis/AliSecGuard/AliSecGuard --stopdriver
    morphyhu
        7
    morphyhu  
    OP
       194 天前
    不管用.还是存在...
    morphyhu
        8
    morphyhu  
    OP
       194 天前
    终于搞定了.
    参考
    https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/managing_monitoring_and_updating_the_kernel/managing-kernel-modules_managing-monitoring-and-updating-the-kernel

    cat >> /etc/modprobe.d/blacklist.conf <<EOF
    # Blacklists AliSecGuard
    blacklist AliSecGuard
    install AliSecGuard /bin/false
    EOF

    reboot
    morphyhu
        9
    morphyhu  
    OP
       194 天前
    干净多了.

    [[email protected] aliyun local]# lsmod
    Module Size Used by
    nfit 55016 0
    libnvdimm 147731 1 nfit
    iosf_mbi 15582 0
    crc32_pclmul 13133 0
    ghash_clmulni_intel 13273 0
    aesni_intel 189415 0
    ppdev 17671 0
    lrw 13286 1 aesni_intel
    gf128mul 15139 1 lrw
    glue_helper 13990 1 aesni_intel
    ablk_helper 13597 1 aesni_intel
    cryptd 21190 3 ghash_clmulni_intel,aesni_intel,ablk_helper
    parport_pc 28205 0
    i2c_piix4 22401 0
    pcspkr 12718 0
    virtio_balloon 18015 0
    joydev 17389 0
    parport 46395 2 ppdev,parport_pc
    ip_tables 27126 0
    ext4 579979 1
    mbcache 14958 1 ext4
    jbd2 107478 1 ext4
    ata_generic 12923 0
    pata_acpi 13053 0
    virtio_blk 18222 2
    virtio_console 28076 1
    virtio_net 28063 0
    cirrus 24377 1
    drm_kms_helper 179394 1 cirrus
    syscopyarea 12529 1 drm_kms_helper
    sysfillrect 12701 1 drm_kms_helper
    sysimgblt 12640 1 drm_kms_helper
    fb_sys_fops 12703 1 drm_kms_helper
    ttm 114635 1 cirrus
    ata_piix 35052 0
    drm 429744 4 ttm,drm_kms_helper,cirrus
    libata 243133 3 pata_acpi,ata_generic,ata_piix
    crct10dif_pclmul 14307 0
    crct10dif_common 12595 1 crct10dif_pclmul
    crc32c_intel 22094 0
    serio_raw 13434 0
    virtio_pci 22985 0
    virtio_ring 22746 5 virtio_blk,virtio_net,virtio_pci,virtio_balloon,virtio_console
    virtio 14959 5 virtio_blk,virtio_net,virtio_pci,virtio_balloon,virtio_console
    drm_panel_orientation_quirks 12957 1 drm
    floppy 69432 0
    [[email protected] aliyun local]#
    zyxk
        10
    zyxk  
       194 天前   ❤️ 1
    看不懂咋办?我是不是废了
    Richard14
        11
    Richard14  
       194 天前
    @zyxk 挺清晰的吧

    @morphyhu OP 了解腾讯云相关吗?目前在用腾讯鸡
    461da73c
        12
    461da73c  
       194 天前
    重装成自己想要的纯净系统啊,买了轻量云第一步操作。
    461da73c
        13
    461da73c  
       194 天前
    指不定还有啥后门。
    morphyhu
        14
    morphyhu  
    OP
       193 天前
    @Richard14 有在用,良心云貌似没有这么干.
    Richard14
        15
    Richard14  
       193 天前
    @morphyhu 最近不是经常有消息良心云无理由封机器,我续费还有三年到期挺慌的,不过目前确实是没啥事,只是不知道是他不探测还是探测出来不抓
    Dawnnnnnn
        16
    Dawnnnnnn  
       192 天前
    @morphyhu 检测是收费功能。准确说,检出并告知你是收费功能,你可以去云安全平台开通一下试试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   4991 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 45ms · UTC 08:36 · PVG 16:36 · LAX 00:36 · JFK 03:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.