總之先看一下這張圖

最近有駭客又研究出最新可以拿到linux下root的方法了

如果你是ubuntu 16.04 且kernel在4.4以上

都可以被輕易拿到root

只要有一組普通使用者身份，就可以透過doubleput的程式拿到root

[root@3wa got_root]# tar xvzf bpf.tar.gz
ebpf_mapfd_doubleput_exploit/
ebpf_mapfd_doubleput_exploit/suidhelper
ebpf_mapfd_doubleput_exploit/doubleput.c
ebpf_mapfd_doubleput_exploit/hello
ebpf_mapfd_doubleput_exploit/doubleput
ebpf_mapfd_doubleput_exploit/suidhelper.c
ebpf_mapfd_doubleput_exploit/compile.sh
ebpf_mapfd_doubleput_exploit/hello.c
[root@3wa got_root]#

總之source看了一下，這入侵程式會檢查crontab、fusemount

從fusemount發現了可以setpid(0) 拿到root的權限

目前尚無解葯，若kernel>=4.4 應該都有風險

1、不能給駭客有任何機會進到主機下命令

2、不可以有任何webshell攻擊的機會

3、羽山的解葯 fusemount如果沒用到，改一下檔名或暫時先移除或把權限設成一般使用者不能使用

至少這程式就無法運作XD

真的patch大概要等kernel bpf 提出修正了

一切都是Rickz的錯，大家要小心