巧用 c 库 preload hook 技术定位 systemd 服务启动异常问题

已于 2022-10-20 10:10:55 修改
阅读量470 收藏
点赞数
分类专栏: 工作问题案例 文章标签: hook systemd 目录创建 日志分析 预加载库
于 2022-10-17 09:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/127349891
版权

文章目录

问题描述

在系统启动的时候,/var/run、/run 目录的创建顺序影响某 systemd 服务的正常启动,需要确定是谁创建了这两个目录以定位问题。

由于此问题在 systemd 服务启动过程中触发,不能使用 auditd 等工具监测,于是想到通过 hook c 库中目录创建与软链接创建相关函数来记录日志以找到犯罪服务,在本文中记录一下。

hook demo 源码

#define _GNU_SOURCE
#include <stdio.h>
#include <unistd.h>
#include <dlfcn.h>
#include <unistd.h>
#include <fcntl.h> /* Definition of AT_* constants */
#include <execinfo.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <fcntl.h>
#include <sys/stat.h>

#define MAXPATH 1024

int apply_filter(const char* func, const char *pathname, int ret)
{
    char buf[MAXPATH];
    int pid = getpid();

    memset(buf, 0x0, sizeof(buf));
    sprintf(buf, "/filter_path.sh %s %s %d %d", func, pathname, pid, ret);
    system(buf);
}

int mkdir(const char *pathname, mode_t mode)
{
    int (*old_mkdir)(const char *, mode_t);
    int ret;

    old_mkdir = dlsym(RTLD_NEXT, "mkdir");
    ret = old_mkdir(pathname, mode);
    
    apply_filter(__FUNCTION__, pathname, ret);
    return ret;
}

int mkdirat(int dirfd, const char *pathname, mode_t mode)
{
    int (*old_mkdirat)(int, const char *, mode_t);
    int ret;
    
    old_mkdirat = dlsym(RTLD_NEXT, "mkdirat");
    ret = old_mkdirat(dirfd, pathname, mode);
    apply_filter(__FUNCTION__, pathname, ret);
    
    return ret;
}

int symlink(const char *target, const char *linkpath) {
        int (*old_symlink)(const char*, const char*);
	int ret;
	
        old_symlink = dlsym(RTLD_NEXT, "symlink");
		
	ret = old_symlink(target, linkpath);
	apply_filter(__FUNCTION__, target, ret);
	return ret;
}

int symlinkat(const char *target, int newdirfd, const char *linkpath)
{
	int (*old_symlinkat)(const char*, int, const char*);
	int ret;

	old_symlinkat = dlsym(RTLD_NEXT, "symlinkat");
	ret = old_symlinkat(target, newdirfd, linkpath);
	apply_filter(__FUNCTION__, target, ret);
	return ret;
}

上述代码 hook 了 mkdir 与 symlink 相关 c 库函数,主要逻辑如下:

  1. 在 hook 函数中先调用 dlsym 获取目标函数的地址
  2. 调用目标函数并获取返回值
  3. 插入一个 apply_filter 函数调用,此函数中调用用户编写的脚本并传入必要的参数信息
  4. 函数正常返回

在 c 语言中调用一个脚本,避免对源码不断的修改、编译以及二进制文件替换操作。

编译命令:

gcc -fPIC -shared hook_mkdir.c -o mkdir.so -ldl

部署方法:

拷贝到 /lib64 中,然后执行如下命令:echo /lib64/mkdir.so > /etc/ld.so.preload

过滤脚本内容示例

#!/bin/bash

FUNC=$1
PATHNAME=$2
pid=$3
ret=$4

program=$(readlink /proc/$pid/exe 2>/dev/null)
cmdline=$(cat /proc/$pid/cmdline 2>/dev/null | sed 's/\x0/ /g')
TIME=$(date)

echo "$TIME:pid:$pid $program execute $FUNC with argument $cmdline to create $PATHNAME with return value $ret" >> /tmp/mkdir.log

对于从 cmdline 文件中获取的字符串,由于其使用 ‘\0’ 分割,需要替换为空格以正常显示,sed 替换命令中使用的字符为 ‘\x0’ 而非 ‘\0’。

将上述脚本保存为 /filter_path.sh,使用前执行 chmod +x 给脚本添加可执行权限。

注意事项

在更新 preload hook so 时,先从 /etc/ld.so.preload 中移除项目,然后更新,直接更新可能存在问题。

如何判段是否生效?

使用 LD_DEBUG=”symbols” 环境变量执行 mkdir,有如下输出信息:

# LD_DEBUG="symbols" mkdir test 2>&1 | grep -A 2 'symbol=mkdir'
    179361:	symbol=mkdir;  lookup in file=mkdir [0]
    179361:	symbol=mkdir;  lookup in file=/lib64/mkdir.so [0]
    179361:	symbol=dlsym;  lookup in file=mkdir [0]
    179361:	symbol=dlsym;  lookup in file=/lib64/mkdir.so [0]
--
    179361:	symbol=mkdir;  lookup in file=/lib/x86_64-linux-gnu/libselinux.so.1 [0]
    179361:	symbol=mkdir;  lookup in file=/lib/x86_64-linux-gnu/libc.so.6 [0]
    179361:	symbol=apply_filter;  lookup in file=mkdir [0]
    179361:	symbol=apply_filter;  lookup in file=/lib64/mkdir.so [0]

第一次从 mkdir.so 中找到了 mkdir 符号,然后调用 dlsym 获取真实的 mkdir 符号位置,在 libc.so.6 中找到,有类似输出表明配置正常。

示例 log

/tmp# touch mkdir.log
/tmp# mkdir -p ./var/run; ln -s var/run run
/tmp# cat ./mkdir.log 
Sun 16 Oct 2022 04:42:19 PM CST:pid:179414 /usr/bin/mkdir execute mkdir with argument mkdir -p ./var run  to create var with return value -1
Sun 16 Oct 2022 04:42:19 PM CST:pid:179414 /usr/bin/mkdir execute mkdir with argument mkdir -p ./var/run  to create run with return value 0
Sun 16 Oct 2022 04:42:19 PM CST:pid:179431 /usr/bin/ln execute symlinkat with argument ln -s var/run run  to create var/run with return value 0

日志记录正常,测试通过。

其它案例

以 hook main 函数为例探讨 PRELOAD 的原理
关闭 stdout 引发的灾难

longyu_wlz
关注
专栏目录
Linux内核进程,线程,进程组,会话组织模型以及进程管理
tugouxp的专栏
11-27 2248
唤醒睡眠状态任意的线程可以用wake_up_process,它可和唤醒处于深度睡眠状态的线程。结合最开始的图和代码,我们可以得到如下结论:1.kthead衍生的内核线程没有session pid,说人话就是所有的内核线程没有都没有操作控制台,不能通过控制台去操作控制。2.idle任务不会出现在for_each_process的处理循环中。3.每cpu_rq就绪队列中,不会将idle统计到nr_running中。
usage.txt-1
huhuoyun的专栏
02-15 1290
系统迁移,虚拟机系统向host机迁移的实现如下: 虚拟机迁移到实体机工具准备: usb 3.0硬盘盒 x1 2T 128 cache x1 usb 3.0 接口 x1 虚拟机迁移到虚拟磁盘的工具准备: 2T vmdk分割 x1 第一部分 制作引导分区 1.grub-install /dev/sdx #将boot安装到/dev/.
Linux LD_PRELOAD Hook
chi's blog
10-09 552
loader在进行动态链接的时候,会将有相同符号名的符号覆盖成LD_PRELOAD指定的so文件中的符号。换句话说,可以用我们自己的so中的函数替换原来里有的函数,从而达到hook的目的。但是LD_PRELOAD有个限制:只能hook动态链接的,对静态链接的无效,因为静态链接的代码都写到可执行文件里了嘛,没有坑让你填。使用PRE_LOAD劫持函数的这种做法可以做很多事情,比如劫持随机函数random, random_r等,使得看起来是公平的摇号程序可以自如地由自己控制;
利用LD_PRELOAD进行hook
Linux知识积累
03-13 1436
在Unix操作系统的动态链接的世界中,LD_PRELOAD就是这样一个环境变量,它可以影响程序的运行时的链接(Runtimelinker),它允许你定义在程序运行前优先加载的动态链接。这个功能主要就是用来有选择性的载入Unix操作系统不同动态链接中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接的中间加载别的动态链接,甚至覆盖正常的函数。一方面,我们可以以此功能来使用自己的或
[C/C++]利用preload hook截获进程操作
小蜗牛之家
07-28 1432
利用linux preload so功能,改写一些glibc中的系统调用,实现监控对文件系统操作的功能。 方法: 生成自己的xxx.so,在运行程序前加上LD_PRELOAD=xxx.so 例如:需要监控某个进程试图打开的文件? #include <dlfcn.h> #include "util.h" #include "unistd.h" using namespace std...
[LINUX]LD_PRELOAD中对于dlopen函数的hook
小蜗牛之家
04-08 1008
- LD_PRELOADhook方式可以hook大部分的函数,通常需要通过dlopen获取共享的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hookdlopen函数,则会在获取共享句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
Hook技术--②LD_PRELOAD
一些个人笔记,写的不好之处,还请海涵
10-31 409
定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等。将包含替换函数的源码编译为动态链接。通过命令export LD_PRELOAD="文件路径",设置要优先替换动态链接。如果找不替换,可以通过export LD_LIBRARY_PATH=文件所在目录路径,设置系统查找的目录。替换结束,要还原函数调用关系,用命令解除想查询依赖关系,可以用ldd 程序名称。共享必须是可执行文件,即必须具有x权限。共享必须是使用-fPIC编译的,以避免地址重定位问题
Kubernetes实战入门
ycf20001002的博客
05-19 748
apiserver集群统一入口,以restful方式,交给etcd存储scheduler节点调度,选择node节点应用部署处理集群中常规后台任务,一个资源对应一个控制器etcd存储系统,用于保存集群相关的数据Daemon Sets #守护进程集 Deployments #无状态副本集,部署无状态服务使用 Stateful Sets #有状态副本集,例如mysql,redis就用有状态 无论用哪个都是创建pod,pod之间可以互相访问,因为每一个pod都有一个ip。
如何在 CentOS 7 上生成 SSL 证书为 Nginx 加密
开发指南的博客
02-19 866
本文首发:开发指南:如何在 CentOS 7 上安装 Nginx Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由、自动化和开放的证书颁发机构。目前几乎所有的现代浏览器都信任由 Let’s Encrypt 颁发的证书。 这个教程,将会一步一步的教你如何在 CentOS 7 上通过 Certbot 来生成 SSL ...
不使用K8S和Docker Swarm的情况下,纯Docker环境下nginx+hyperf+pm2的部署方案
jobsen123的专栏
07-16 3829
一 、构建Php镜像,其镜像包含pm2和pm2-logrotate以及ssh公钥登录功能 Dockerfile FROM ubuntu:18.04 MAINTAINER jobsen123@qq.com ENV DEBIAN_FRONTEND noninteractive RUN sed -i -e s@/archive.ubuntu.com/@/mirrors.aliyun.com/@g -e s@/security.ubuntu.com/@/mirrors.aliyun.com/@g /etc/.
linux卡顿问题排查_记一次星环大数据tdh集群中因某节点systemd服务进程bug而引起大数据集群异常问题的排查与修复...
weixin_39540018的博客
01-01 749
某日笔者接到大数据集群使用人员紧急求救,反馈其在用的星环大数据tdh集群遇到以下故障无法解决,影响集群使用无法运行大数据计算任务。其反馈的问题现象如下: tdh集群响应慢且不稳定,在transwarp manager server节点(tdh1)节点的管控台页面,可以发现有以下告警:tos运行异常,license运行异常,guardian运行异常;通过tdh管控...
运维排查 | Systemd服务停止后状态为 failed
最新发布
s_alted的博客
04-01 1784
哈喽大家好,我是咸鱼。我们知道 CentOS 7 之后,Systemd 代替了原来的 SystemV 来管理服务,相比 SystemV ,Systemd 能够很好地解决各个服务间的依赖关系,还能让所有的服务同时启动,而不是串行启动。通常情况下,yum 安装的软件会由系统的包管理器(如 RPM)安装,并且会配置相应的 systemd 服务,因此由 systemd 来管理。
常用的系统HOOK方法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 1078
1.HOOK SSDT表 // UN-protect memory __asm { push eax mov eax, CR0 and eax, 0FFFEFFFFh mov CR0, eax pop eax } // do something // RE-protect memory __asm { push
systemd-自定义启动服务报错-你在生产中遇到过什么印象深刻的错误?
qq_22648091的博客
08-24 608
脚本内容: systemd 服务文件 报错日志 原因: 执行程序的语法格式错误,或者不规范 执行程序是一个 shell 脚本,但是没有声明解释器。需要在文件开头添加 #!/bin/env sh 修改后 再次启动,观察状态 ...
C语言变量出现nan如何恢复,C语言入口函数和LD_PRELOAD环境变量
weixin_29215509的博客
05-19 729
零.C语言入口函数从第一天学习C语言开始,我们的脑子里就深深烙下这样一个概念:C语言程序总是从main()函数开始执行,main()函数结束,程序也就结束了.在平时的练习中貌似这没有问题,但事实真的是这样吗?测试一下,点击(此处)折叠或打开#include #include #include int enter(void){printf("the start function!\n");retur...
纠正自己对systemd的一个错误认知
chiren2303的博客
07-05 417
以前一直以为,systemd只会到/etc/systemd/system读取配置文件。要enable某个service就是copy service的配置文件到/etc/systemd/system目录下或者建一个symlinks。 昨天,想在启动时自动执行一个程序,自己写了个service文...
信息安全-LD_PRELOAD无法捕获网络数据问题1
WenCoo的博客
03-24 461
根据上一节的一些问题排查,现在我们再来排查一下。 首先来分析一下http,http是基于tcp协议之上的,说白了,http也就是负责数据传输的,将数据传输过来之后在做什么,则是另一个问题。所以到这里,推测,去监控socket端口的连接,或者读写,是可以监控到的 1.Netstat -ntlp //查看服务端口 # netstat -ntlp Active Internet connection...
探索 Linux 系统编程的利器:Ldpreloadhook
gitblog_00004的博客
03-16 367
探索 Linux 系统编程的利器:Ldpreloadhook 去发现同类优质开源项目:https://gitcode.com/ 如果你是一位Linux系统开发者或者热衷于探索底层技术,那么本文将为你带来一个极具价值的工具——ldpreloadhook。 什么是ldpreloadhook ldpreloadhook是一个用于Linux系统的开源,它提供了一个简单易用的API,使得开发者能够方便地在...
警惕UNIX下的LD_PRELOAD环境变量
walterxia的专栏
07-12 670
警惕UNIX下的LD_PRELOAD环境变量 转自 http://blog.csdn.net/haoel/article/details/1602108  陈皓 前言        也许这个话题并不新鲜,因为LD_PRELOAD所产生的问题由来已久。不过,在这里,我还是想讨论一下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值