xpid를 사용하여 숨겨진 PID, eBPF 등 찾기
xpid는 정확히 무엇입니까?
글쎄, 제작자가 설명했듯이 "nmap이지만 pids"입니다.
xpid는 다음을 지원합니다
USAGE:
xpid [flags] -o [output] <query>
Investigate pid 123 and write the report to out.txt
xpid 123 > out.txt
Find all container processes on a system
# Looks for /proc/[pid]/ns/cgroup != /proc/1/ns/cgroup
xpid -c <query>
Find all processes running with eBPF programs at runtime.
# Looks for /proc/[pid]/fdinfo and correlates to /sys/fs/bpf
xpid --ebpf <query>
Find all processes between specific values
xpid <flags> +100 # Search pids up to 100
xpid <flags> 100-2000 # Search pids between 100-2000
xpid <flags> 65000+ # Search pids 65000 or above
Find all "hidden" processes on a system
# Looks for chdir, opendir, and dent in /proc
xpid -x <query>
Find all possible pids on a system, and investigate each one (slow). The --all flag is default.
xpid > out.txt
Investigate all pids from 0 to 1000 and write the report to out.json
xpid -o json 0-1000 > out.json
다음 플래그가 지원됩니다.
GLOBAL OPTIONS:
--verbose, -v (default: false)
--output value, -o value, --out value
--all, -A (default: false)
--fast, -f (default: true)
--probe, --bpf, --ebpf, -b (default: false)
--hidden, -x (default: false)
--threads, -t, --thread (default: false)
--proc, -P (default: false)
--container, -c, --containers (default: false)
--help, -h show help (default: false)
이것들을 시험해 보자
예를 들어 여기에서
httpd
컨테이너를 실행하고 있습니다.podman run -d docker.io/httpd
이제 해당 컨테이너에서 실행되는 프로세스를 보고 싶습니다.
xpid -c
히든프로세스를 만들어서 해봤는데 안되더라구요.
실행 중인 스레드를 확인하려면 다음을 수행할 수 있습니다
xpid -t
.eBPF 프로그램을 보려면 다음을 사용할 수 있습니다.
xpid -b -v
INFO[0001] Query : 1-4194304
전반적으로 이것은 상황이 올바르지 않은 것으로 보이는 서버 문제를 해결하는 데 매우 좋은 도구입니다.
이 도구는 오픈 소스이며 코드는 Github에서 사용할 수 있습니다.
읽어 주셔서 감사합니다. 즐거운 사냥 되세요.
나는 DevOps를 좋아하고 내 트위터 핸들은 보안 관련 사항입니다.
Reference
이 문제에 관하여(xpid를 사용하여 숨겨진 PID, eBPF 등 찾기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/kcdchennai/hunting-hidden-pids-ebpf-and-much-more-using-xpid-c0o텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)