一:适配方法
1:后门账户
可疑用户排查:
2:SUID Shell
Suid shell是一种可用于以拥有者权限运行的shell。
可疑排查:
3:公私钥免密登录
在客户端上生成一对公私钥,然后把公钥放到服务器上(~/.ssh/authorized_keys),保留私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。
客户端与服务端执行:
ssh-keygen -t rsa #过程中按三次回车
其中 id_rsa为私钥,id_rsa.pub为公钥,接下来打开id_rsa.pub,将内容复制到服务器。将id_rsa.pub的内容追加到/root/.ssh/authorized_keys内,配置完成。
排查技巧:查看/root/.ssh/authorized_keys是否被修改。
4:软连接
在sshd服务配置运行PAM认证的前提下,PAM配置文件中控制标志为sufficient时只要pam_rootok模块检测uid为0即root权限即可成功认证登陆。通过软连接的方式,实质上PAM认证是通过软连接的文件名 /tmp/su 在/etc/pam.d/目录下寻找对应的PAM配置文件(如: /etc/pam.d/su),任意密码登陆的核心是auth sufficient pam_rootok.so,所以只要PAM配置文件中包含此配置即可SSH任意密码登陆,除了su中之外还有chsh、chfn同样可以。
在目标服务器上执行一句话后门并在客户端执行ssh root@IP -p 8888,输入任意密码,成功登录。
**排查技巧:**进程、端口都可以发现异常, kill -s 9 PID 结束进程即可清除后门。
5:SSH Wrapper
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。原始的sshd监听端口建立了tcp连接后,会fork一个子进程处理具体工作。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。此时子进程标准输入输出已被重定向到套接字,getpeername能真的获取到客户端的TCP源端口,如果是19526就执行sh给个shell.
简单点就是从sshd fork出一个子进程,输入输出重定向到套接字,并对连过来的客户端端口进行了判断。
服务端执行:
客户端执行:
排查技巧:
6:Strace后门
通过命令替换动态跟踪系统调用和数据,可以用来记录用户ssh、su、sudo的操作。
排查技巧:使用alias即可发现异常。
7:Crontab反弹Shell
crontab命令用于设置周期性被执行的指令。新建shell脚本,利用脚本进行反弹。
服务端操作:
客户端操作:
8:Openssh后门
利用openssh后门,设置SSH后门密码及root密码记录位置,隐蔽性较强,不易被发现并通过修改SSH源代码的方式来留一个万能的SSH密码。
步骤一:环境准备
步骤二:记录SSH版本号并重命名原来的ssh主程序和配置文件(作用是待会同步时间)
步骤三:将百度云盘的zip文件解压后并上穿到目标服务器进行解压与打补丁
步骤四:修改后门密码和版本信息
步骤五:修改版本号避免管理员发现
步骤六:重新安装编译
出现一下信息则代表安装编译成功:
步骤七:修改sshd程序和配置文件时间,避免被管理员发现sshd程序发生了修改
步骤八:验证
在/tmp目录下会生成ilog和olog日志,当其他主机ssh登录该主机时(使用万能密码登录的不会记录),会生成ilog日志,当该主机ssh登录其他主机时,会生成olog日志。
9:PAM后门
10:Rookit后门
Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。
特点:
优势:隐蔽性一般,无需要编译。
劣势:会替换ls等命令,容易被识破。
适用:Centos 5.5~
使用说明:
1534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
