Systemd服务

对手可能会创建或修改systemd服务，以作为持久性的一部分反复执行恶意负载。Systemd是一个系统和服务管理器，通常用于管理后台守护进程（也称为服务）和其他系统资源。(引用: Linux man-pages: systemd January 2014) Systemd是许多Linux发行版上的默认初始化(init)系统，取代了遗留的init系统，包括SysVinit和Upstart，同时保持向后兼容。 Systemd使用扩展名为.service的单元配置文件来编码有关服务进程的信息。默认情况下，系统级单元文件存储在根拥有的目录(/)的/systemd/system目录中。用户级单元文件存储在用户拥有的目录($HOME)的/systemd/user目录中。(引用: lambert systemd 2022) 在.service单元文件中，以下指令用于执行命令：(引用: freedesktop systemd.service) * ExecStart、ExecStartPre和ExecStartPost指令在服务由systemctl手动启动或在系统启动时执行，如果服务设置为自动启动。 * ExecReload指令在服务重新启动时执行。 * ExecStop、ExecStopPre和ExecStopPost指令在服务停止时执行。 对手已经创建了新的服务文件，更改了.service文件指令执行的命令，并修改了.service文件执行的用户指令，这可能导致权限提升。对手还可能在这些目录中放置符号链接，使systemd能够找到这些负载，无论它们在文件系统中的位置。(引用: Anomali Rocke March 2019)(引用: airwalk backdoor unix systems)(引用: Rapid7 Service Persistence 22JUNE2016) .service文件的User指令可用于以特定用户身份运行服务，这可能会根据特定用户/组权限导致权限提升。