什么是SSH后门 该如何检测与清除

           SSH普通用户的命令权限是是no login,No login就是不让你登录,不可登录并且拒绝用户登录。那大家排查的时候就可以忽略这些就是no login的和bin filled。这里还有一个叫bash,这也是刚才我添加的账户,这与之前的root用户一样,这也是一个 shell的解释器,那看一下篡改。SSH登录有两种方式,第一种是账户和密码,第二种就是密钥。方便他们远程管理,并且有一些自动执行的任务计划,大部分都是通过Mile来实现免密的,就是说这就免密码,通过key的方式,公钥和私钥。

那你看我这文件里有一个公钥,比如现在攻击者又插入了一个公钥,插入了他自己的,我这里只是为了方便复制一个,那插入之后是不是他就也免密登录这台服务器了。所以大家在排查的时候要重点关注这个文件,它在每一个用户底下都有一个隐藏文件,叫/root/.ssh/。这个隐藏文件里就会有你的一些信息看,这是登录的信息,所有登录过你机器的信息,就说在你密钥交换的时候,这个它的公钥里边会有host,再看一下全部。

我这里没有建立这个文件,因为我没有通过它来登录我用的账户和密码,那看一下这台服务器,这里就有这个文件,只要把这个文件放到点.SSH文件目录下。如果 ssh不特殊配置,默认的配置它就支持密钥管理的。所以说你只要early在这里创建了这个文件,把你的公钥写进去,那你就可以通过自己的私钥去登录它,登录这台服务器,这样的话你也看不到它更改你的密码,你也看不到新用户的创建,只是在这文件里多了一条数据而已。

第三种重装覆盖,那重装覆盖是怎么咱们把SSH重装一遍,装入咱们带后门的session,那这个时候是不是用户无感,并且咱们可以在SSH的源码里做一些文章,比如植入一个账户,就不会放到系统里,直接放到这个软件里,因为咱们控制Linux远程的就是通过SSh opens这个软件,看一下时间,那这里可以看到一个2021年和一个2015年的其实这个2015年是我修改的,那说明这个方法不可靠,我可以修改它的时间。

那第二种,第二种是看版本,如果攻击者精心构造一下自己软件的版本,把它写成这个样子,其实你也是分辨不出来的。但就看攻击者的水平了。因为一旦你没有在系统上建立关键文件的希或者做安全防护,比如安装一些主机安全软件,那就有可能造成就是说我 SSH被篡改了,清理的只要干净,你是分辨不出来的。

分享: