最近公司被入侵了,並且留下了ssh後門,因此必須得重裝openssh,但是一重裝的話,之前的連接就會斷開,要是這樣的話,遠程連接就連不上了,面臨的問題恐怕就只有到機房去安裝了,要是公司離機房較遠的話,就是一個大問題了,因此可以使用dropbear來暫時替代openssh,使用dropbear來連接服務器,來對openssh進行重裝。ssh後門使sshd文件被替換,系統一些常用的關鍵的命令也被替換。(可以使用lsattr來查看隱藏的屬性:lsattr /bin /sbin /usr/bin /usr/sbin等目錄!)
首先發幾張圖片供大家欣賞:
sshd問題文件,被替換了!!正常情況下應該是在/etc目錄,而不是/usr/etc目錄,請注意!!!!
第二次被替換了,之前是/etc/gshdow++文件
下載安裝dropbear:http://matt.ucc.asn.au/dropbear/dropbear-0.52.tar.gz
先簡單介紹一下:dropbear是一個免費的開源軟件,最新版本為0.52版的,而且還是2008年發布的,到現在好像也沒更新了,他比openssh小,且運行時只運行一個進程,而不是openssh的兩個進程,因此比openssh占的資源小,至於安全性來說,本人不知道怎樣,因此只用來作為臨時的ssh連接軟件,必定openssh用的較為廣泛且安全性較高!!!
在安裝dropbear之前需,需先安裝zlib: yum install zlib*
先改一下openssh的端口吧,以免被dropbear占用:
vi /etc/ssh/ssh_config
找到Port 22 換成Port 2211 (自己隨便設置)
然後service sshd restart即可,netstat查看連接端口已由22變成了2211
tar -xvzf dropbear-0.52.tar.gz
cd dropbear-0.52
./configure
make
makeinstall
生成的dropbear執行文件為:
dropbear: ssh2 server
dropbearkey: 密鑰生成器
dropbearconvert: 可以轉換openssh的密鑰
dbclient: ssh2 client
配置dropbear:
生成ssh連接所需要的公鑰,如下:
/usr/local/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key (dss加密,長度默認為1024,而且只能是這麼多)
或者:/usr/local/bin/dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key (rsa加密,長度可以自己設,1024的倍數) --不生成密鑰或者公鑰,dropbear將無法啟動。
(RSA: RSA算法是第一個能同時用於加密和數字簽名的算法,也易於理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近二十年,經歷了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優秀的公鑰方案之一。RSA的缺點主要有:A)產生密鑰很麻煩,受到素數產生技術的限制,因而難以做到一次一密。B)分組長度太大,為保證安全性,n 至少也要 600 bits以上,使運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數量級;且隨著大數分解技術的發展,這個長度還在增加,不利於數據格式標准化。)
(DSA)是Schnorr和ElGamal簽名算法的變種,被美國NIST作為DSS
(Digital Signature Standard)。
DSA:是基於整數有限域離散對數難題的,其安全性與RSA相比差不多。DSA的一個重要特點是兩個素數公開,這樣,當使用別人的p和q時,即使不知道私鑰,你也能確認它們是否是隨機產生的,還是作了手腳。RSA算法卻作不到。
啟動dropbear:
/usr/local/sbin/dropbear
啟動後的端口為22。
dropbear默認的安裝路徑是:/usr/local/sbin
如果想監聽特定的端口,按如下格式執行,如果不加此參數則會監聽默認端口:
usr/local/sbin/dropbear –p 1984
更改默認監聽的端口方法:
在編譯dropbear之前,編輯options.h更改端口即可。
想查看dropbear的使用,可以執行:
/usr/local/sbin/dropbear -h
在安裝完成之後就可以重新安裝openssh了,可以使用yum安裝,比較方便。之後就是去除那些後門文件,並更換正常的系統命令文件. yum install net-tools可以將ls ,ps 等關鍵命令重裝。
涉及到一些ssh後門程序,本文就不提供了,感興趣的可以上網查找,這裡只提供名字:mafix,shv4, shv5。中了此木馬程序之後,會生成ttyload和ttymon進程,作為ssh連接的入口,只要看到此進程了需注意了!!!
完畢!!!
