xpid를 사용하여 숨겨진 PID, eBPF 등 찾기

오늘 탐색하는 동안 나는 꽤 놀라운 도구를 발견했고 시스템 관리자로서(잘 정리하자면) 이러한 도구가 꽤 놀랍다는 것을 알게 되었습니다.

xpid는 정확히 무엇입니까?

글쎄, 제작자가 설명했듯이 "nmap이지만 pids"입니다.

xpid는 다음을 지원합니다

USAGE:
   xpid [flags] -o [output] <query>

   Investigate pid 123 and write the report to out.txt
     xpid 123 > out.txt

   Find all container processes on a system
     # Looks for /proc/[pid]/ns/cgroup != /proc/1/ns/cgroup
     xpid -c <query>

   Find all processes running with eBPF programs at runtime.
     # Looks for /proc/[pid]/fdinfo and correlates to /sys/fs/bpf
     xpid --ebpf <query>

   Find all processes between specific values
     xpid <flags> +100      # Search pids up to 100
     xpid <flags> 100-2000  # Search pids between 100-2000
     xpid <flags> 65000+    # Search pids 65000 or above

   Find all "hidden" processes on a system
     # Looks for chdir, opendir, and dent in /proc
     xpid -x <query>

   Find all possible pids on a system, and investigate each one (slow). The --all flag is default.
     xpid > out.txt

   Investigate all pids from 0 to 1000 and write the report to out.json
     xpid -o json 0-1000 > out.json

다음 플래그가 지원됩니다.

GLOBAL OPTIONS:
   --verbose, -v                          (default: false)
   --output value, -o value, --out value
   --all, -A                              (default: false)
   --fast, -f                             (default: true)
   --probe, --bpf, --ebpf, -b             (default: false)
   --hidden, -x                           (default: false)
   --threads, -t, --thread                (default: false)
   --proc, -P                             (default: false)
   --container, -c, --containers          (default: false)
   --help, -h                             show help (default: false)

이것들을 시험해 보자

예를 들어 여기에서 httpd 컨테이너를 실행하고 있습니다.

podman run -d docker.io/httpd

이제 해당 컨테이너에서 실행되는 프로세스를 보고 싶습니다.

xpid -c

히든프로세스를 만들어서 해봤는데 안되더라구요.

실행 중인 스레드를 확인하려면 다음을 수행할 수 있습니다xpid -t.

eBPF 프로그램을 보려면 다음을 사용할 수 있습니다.

xpid -b -v
INFO[0001] Query : 1-4194304

전반적으로 이것은 상황이 올바르지 않은 것으로 보이는 서버 문제를 해결하는 데 매우 좋은 도구입니다.

이 도구는 오픈 소스이며 코드는 Github에서 사용할 수 있습니다.

읽어 주셔서 감사합니다. 즐거운 사냥 되세요.

나는 DevOps를 좋아하고 내 트위터 핸들은 보안 관련 사항입니다.

Reference

이 문제에 관하여(xpid를 사용하여 숨겨진 PID, eBPF 등 찾기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/kcdchennai/hunting-hidden-pids-ebpf-and-much-more-using-xpid-c0o

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다