一、文章起源
我在文章 一次服務器被入侵的處理過程分享 中間有提及到我通過 cat/more 等命令查看文件,以及通過crontab -l 命令查看,一些定時任務和文件內容被隱藏了。
二、細講問題
文件內容爲何顯示不了,究竟是什麼東西在作怪,讓我們一探究竟。
爲了讓大家也可以一起了解下, 文件我放到 阿里雲oss 上, 有興趣的可以下載下來看下。 隱藏文件內容示例
2.1、 文件在不同環境下的不同編譯器打開的顯示情況
Linux 通過 cat/more 打開
Linux 通過 vim 打開
Notepad++ 顯示所有字符模式打開
開始自己網上查了一下, 沒有查到原因。憑藉着做多年運維解決問題的經驗,已經對問題的那種直覺感, 總覺得應該是 ;^M(我裝到了)。
三、 藉助場外資源
爲了一探究竟,特意叫一個朋友拉我進了一個安全羣,在羣裏詢問下安全大佬。
3.1、雙向文本(Bidirectional tex)
具體可以看下這個文章 https://tttang.com/archive/1339/
在安全羣裏問了一下,有位大佬提了一句 雙向文本方向。 我都沒有聽說過這個東西。 雙向文本到底是啥,科普下:雙向文本就是一個字符串裏面,包含了兩種文字,既包含從左到右的文字,又包含從右向左的文字。
示例1:
文本中是
RLI a b c PDI
而顯示實際是
c b a
示例2:
文本中是
RLI LRI a b c PDI LRI d e f PDI PDI
而實際上顯示的是
d e f a b c
示例3:
代碼顯示內容爲
實際執行的內容是
細看,這好像跟我們的場景還是不一樣。 這個只是調換文字的順序。飯可以亂喫,路不能亂走啊,得走正道。 繼續瞅瞅。
3.2、 看看^M
有另外一個大佬說出來了一個問題, 所有的問題原因是 跟^M 有關。
如何在vim 中打出
^M, ctrl + v +m 可以輸出^M
大佬說到 ^M 是回車換行符。 cat 帶有^M的一行字符串時,屏幕上會把 ^M 之後的內容在同一行換行後輸出,這樣就會覆蓋掉^M之前的內容,導致你看到的這個內容效果。
我產生了疑問, ^M 是回車換行符, 這個有依據嗎? 在下面有解釋。
先不管這個,我們先測試一波。
示例一
[root@vm-12-12-centos tmp]# cat test
1bc
[root@vm-12-12-centos tmp]# cat -A test
abc^M1$
示例二
[root@vm-12-12-centos tmp]# cat -A test
abc^M123$
[root@vm-12-12-centos tmp]# cat test
123
示例三
[root@vm-12-12-centos tmp]# cat -A test
abc^M1 45$
[root@vm-12-12-centos tmp]# cat test
1 45
通過上面的示例,我們可以知道,^M 後面的內容會覆蓋 ^M 前面的內容, 入侵者就是利用這個原理,在 ^M 後面打了很多個空格覆蓋掉前面實際定時任務的內容。 哎,這入侵者真是個人才。
3.3、真相大白
前面我產生了疑問, ^M 是回車換行符, 這個有依據嗎? 我該怎麼去查看這cat 命令把這個 ^M 給識別成啥了?
在憋了幾天之後,終於想到了一個大器(strace)。 有點相見恨晚的感覺。
[root@vm-12-12-centos tmp]# strace cat test
execve("/bin/cat", ["cat", "test"], 0x7ffe1d047e08 /* 19 vars */) = 0
brk(NULL) = 0x1c0d000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da021000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=22981, ...}) = 0
mmap(NULL, 22981, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f14da01b000
close(3) = 0
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0`&\2\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=2156592, ...}) = 0
mmap(NULL, 3985920, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f14d9a33000
mprotect(0x7f14d9bf7000, 2093056, PROT_NONE) = 0
mmap(0x7f14d9df6000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1c3000) = 0x7f14d9df6000
mmap(0x7f14d9dfc000, 16896, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f14d9dfc000
close(3) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da01a000
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da018000
arch_prctl(ARCH_SET_FS, 0x7f14da018740) = 0
access("/etc/sysconfig/strcasecmp-nonascii", F_OK) = -1 ENOENT (No such file or directory)
access("/etc/sysconfig/strcasecmp-nonascii", F_OK) = -1 ENOENT (No such file or directory)
mprotect(0x7f14d9df6000, 16384, PROT_READ) = 0
mprotect(0x60b000, 4096, PROT_READ) = 0
mprotect(0x7f14da022000, 4096, PROT_READ) = 0
munmap(0x7f14da01b000, 22981) = 0
brk(NULL) = 0x1c0d000
brk(0x1c2e000) = 0x1c2e000
brk(NULL) = 0x1c2e000
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=106176928, ...}) = 0
mmap(NULL, 106176928, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f14d34f0000
close(3) = 0
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) = 0
open("test", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=12, ...}) = 0
fadvise64(3, 0, 0, POSIX_FADV_SEQUENTIAL) = 0
read(3, "abc\r1 45\n", 65536) = 12
1 45, "abc\r1 45\n", 12abc
) = 12
read(3, "", 65536) = 0
close(3) = 0
close(1) = 0
close(2) = 0
exit_group(0) = ?
+++ exited with 0 +++
我們注意看, read 這裏的內容。
read(3, "abc\r1 45\n", 65536) = 12
我們發現 ^M 在 cat 命令執行過程中,轉換爲 \r , 那麼 \r 又是什麼? 接下來需要去翻閱 新華字典了。
\r : 回車符(carriage ret), 對應ASCII值13(縮寫:CR)。 它的含義是什麼: 回車 (控制字元)。
那我們前面通過 notepad++ 打開的線上的 CR 是不是就對上了。
最終我們可以得出一個初步結論, 也就是:
- 在 Linux Vim 中打印出來的
^Mcat 等一些命令會轉換爲\r,\r也就是回車 在Linux、unix中 表示它將光標返回到行首。\r之後的內容也就會覆蓋前面的內容。
四、注意
- 以後服務器如果入侵了,建議我們使用
cat -A命令來查看。這樣一些隱藏字符就可以看到了。
