日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何用strace找出ssh后門(mén)

首先我先編譯一個(gè)ssh后門(mén),這個(gè)ssh后門(mén)會(huì)在/tmp/xxxxxx記錄所有的登錄密碼

啟動(dòng)他

QUOTE:

root@laptop:/usr/local/openssh2/sbin# ps aux | grep sshd

root     13619  0.0  0.3   7432  1752 ?        Ss   23:44   0:00 ./sshd -p 1234

root     13707  0.0  0.2   4292  1328 pts/3    R+   23:58   0:00 grep sshd

下面我們用strace跟蹤一下pid位13619的ssh進(jìn)程,其中-ff參數(shù)很重要,可以跟蹤fork的子進(jìn)程。

QUOTE:

root@laptop:/usr/local/openssh2/sbin# strace -o aa -ff -p 13619

然后我們登錄ssh,成功登錄之后,我們看看當(dāng)前目錄,生成了strace的輸出

QUOTE:

root@laptop:/usr/local/openssh2/sbin# ls

aa        aa.13636  aa.13638  aa.13640  aa.13642  aa.13644  aa.13646  aa.13648  aa.13650  aa.13652  aa.13654  aa.13656  sshd

aa.13635  aa.13637  aa.13639  aa.13641  aa.13643  aa.13645  aa.13647  aa.13649  aa.13651  aa.13653  aa.13655  aa.13657

我們grep一下open系統(tǒng)調(diào)用,然后過(guò)濾掉錯(cuò)誤信息和/dev/null信息,以及denied信息,并且找WR的,就是讀寫(xiě)模式打開(kāi)的,因?yàn)橐延涗浀拿艽a寫(xiě)入文件,肯定要是以寫(xiě)方式打開(kāi)的文件,大致的看看,很容易找到異常文件/tmp/xxxxxx

QUOTE:

root@laptop:/usr/local/openssh2/sbin# grep open aa* | grep -v -e No -e null -e denied| grep WR
aa.13635:open("/tmp/xxxxxx", O_WRONLY|O_APPEND|O_CREAT|O_LARGEFILE, 0666) = 3
aa.13635:open("/dev/ptmx", O_RDWR)               = 3
aa.13635:open("/dev/pts/5", O_RDWR|O_NOCTTY)     = 6
aa.13635:open("/var/run/utmp", O_RDWR)           = 7
aa.13635:open("/var/log/wtmp", O_WRONLY)         = 7
aa.13635:open("/var/log/lastlog", O_RDWR|O_CREAT|O_LARGEFILE, 02000) = 7
aa.13635:open("/var/run/utmp", O_RDWR)           = 6
aa.13635:open("/var/log/wtmp", O_WRONLY)         = 6
aa.13638:open("/dev/pts/5", O_RDWR|O_LARGEFILE)  = 7
aa.13638:open("/dev/tty", O_WRONLY|O_LARGEFILE)  = 8
aa.13638:open("/dev/tty", O_RDWR|O_NONBLOCK|O_LARGEFILE) = 3
aa.13640:open("/dev/tty", O_RDWR|O_NONBLOCK|O_LARGEFILE) = 3
aa.13657:open("/dev/tty", O_RDWR)                = 3

通過(guò)上面的方法,我們可以大致的診斷一下我們的sshd是否被放了后門(mén),但是因?yàn)閟shd后門(mén)多種多樣,上面我說(shuō)到的sshd后門(mén)是比較優(yōu)秀的一種,他可以設(shè)置是否記錄密碼,如果設(shè)置不記錄密碼,那么我們用strace估計(jì)是發(fā)現(xiàn)不到他的,但是還是有一些ssh后門(mén)還要用特殊的配置文件,讀取特殊的密碼文件,這種我們用strace就十分容易發(fā)現(xiàn)他們了。

【編輯推薦】

  1. UNIX應(yīng)急響應(yīng)之安全攻略
  2. 5.5.3 iptables策略配置

網(wǎng)頁(yè)題目:如何用strace找出ssh后門(mén)
文章出自:http://www.dlmjj.cn/article/ccchgco.html