最近公司被入侵了,并且留下了ssh後門,是以必須得重裝openssh,但是一重裝的話,之前的連接配接就會斷開,要是這樣的話,遠端連接配接就連不上了,面臨的問題恐怕就隻有到機房去安裝了,要是公司離機房較遠的話,就是一個大問題了,是以可以使用dropbear來暫時替代openssh,使用dropbear來連接配接伺服器,來對openssh進行重裝。ssh後門使sshd檔案被替換,系統一些常用的關鍵的指令也被替換。(可以使用lsattr來檢視隐藏的屬性:lsattr /bin /sbin /usr/bin /usr/sbin等目錄!)
首先發幾張圖檔供大家欣賞:
sshd問題檔案,被替換了!!正常情況下應該是在/etc目錄,而不是/usr/etc目錄,請注意!!!!
<a target="_blank" href="http://blog.51cto.com/attachment/201012/123401957.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201012/123653848.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201012/123709131.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201012/123721484.jpg"></a>
先簡單介紹一下:dropbear是一個免費的開源軟體,最新版本為0.52版的,而且還是2008年釋出的,到現在好像也沒更新了,他比openssh小,且運作時隻運作一個程序,而不是openssh的兩個程序,是以比openssh占的資源小,至于安全性來說,本人不知道怎樣,是以隻用來作為臨時的ssh連接配接軟體,必定openssh用的較為廣泛且安全性較高!!!
<a target="_blank" href="http://blog.51cto.com/attachment/201012/135640778.jpg"></a>
在安裝dropbear之前需,需先安裝zlib: yum install zlib*
先改一下openssh的端口吧,以免被dropbear占用:
vi /etc/ssh/ssh_config
找到Port 22 換成Port 2211 (自己随便設定)
然後service sshd restart即可,netstat檢視連接配接端口已由22變成了2211
tar -xvzf dropbear-0.52.tar.gz
cd dropbear-0.52
./configure
make
makeinstall
生成的dropbear執行檔案為:
dropbear: ssh2 server
dropbearkey: 密鑰生成器
dropbearconvert: 可以轉換openssh的密鑰
dbclient: ssh2 client
配置dropbear:
生成ssh連接配接所需要的公鑰,如下:
/usr/local/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key (dss加密,長度預設為1024,而且隻能是這麼多)
或者:/usr/local/bin/dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key (rsa加密,長度可以自己設,1024的倍數) --不生成密鑰或者公鑰,dropbear将無法啟動。
(RSA: RSA算法是第一個能同時用于加密和數字簽名的算法,也易于了解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近二十年,經曆了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優秀的公鑰方案之一。RSA的缺點主要有:A)産生密鑰很麻煩,受到素數産生技術的限制,因而難以做到一次一密。B)分組長度太大,為保證安全性,n 至少也要 600 bits以上,使運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數量級;且随着大數分解技術的發展,這個長度還在增加,不利于資料格式标準化。)
(DSA)是Schnorr和ElGamal簽名算法的變種,被美國NIST作為DSS
(Digital Signature Standard)。
DSA:是基于整數有限域離散對數難題的,其安全性與RSA相比差不多。DSA的一個重要特點是兩個素數公開,這樣,當使用别人的p和q時,即使不知道私鑰,你也能确認它們是否是随機産生的,還是作了手腳。RSA算法卻作不到。
啟動dropbear:
/usr/local/sbin/dropbear
啟動後的端口為22。
dropbear預設的安裝路徑是:/usr/local/sbin
如果想監聽特定的端口,按如下格式執行,如果不加此參數則會監聽預設端口:
usr/local/sbin/dropbear –p 1984
更改預設監聽的端口方法:
在編譯dropbear之前,編輯options.h更改端口即可。
想檢視dropbear的使用,可以執行:
/usr/local/sbin/dropbear -h
在安裝完成之後就可以重新安裝openssh了,可以使用yum安裝,比較友善。之後就是去除那些後門檔案,并更換正常的系統指令檔案. yum install net-tools可以将ls ,ps 等關鍵指令重裝。
涉及到一些ssh後門程式,本文就不提供了,感興趣的可以上網查找,這裡隻提供名字:mafix,shv4, shv5。中了此木馬程式之後,會生成ttyload和ttymon程序,作為ssh連接配接的入口,隻要看到此程序了需注意了!!!
完畢!!!
本文轉自 zhangzj1030 51CTO部落格,原文連結:http://blog.51cto.com/tech110/458115
![筆試面試題目:滑動視窗(二)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)