追溯和如何检测Linux上的库注入(2)

你也能够通过查看用户的环境设置来定位 LD_PRELOAD 的使用。如果在用户账户中使用了 LD_PRELOAD，你可以使用这样的命令来查看（假定以个人身份登录后）：

$ env | grep PRELOAD
LD_PRELOAD=/home/username/userlib.so

如果你之前没有听说过 osquery，也别太在意。它正在成为一个更受欢迎的工具。事实上就在上周，Linux 基金会宣布打造了新的 osquery 基金会以支持 osquery 社区。

总结

尽管库注入是一个严重的威胁，但了解一些优秀的工具来帮助你检测它是否存在是很有帮助的。

扩展阅读

重要的参考和工具的链接：

• 用 osquery 追寻 Linux 库注入，AT&T Cybersecurity
• Linux：我的内存怎么了？，TrustedSec
• 下载 osquery
• osquery 模式
• osqueryd（osquery 守护进程）
• Mitre 的攻击框架
• 新的 osquery 基金会成立

【编辑推荐】

1. 在Linux上为你的任务创建一个自定义的系统托盘指示器
2. 深入学习Linux内核模块
3. 搞懂Linux内存管理，仅此一篇
4. 如何在 Linux 服务器上设置 ulimit 和文件描述符数限制
5. 如何在Linux服务器上设置ulimit和文件描述符数限制

（编辑：ASP站长网）