利用strace找出ssh后门

首先我先编译一个ssh后门,这个ssh后门会在/tmp/xxxxxx记录所有的登录密码

启动他

QUOTE:

下面我们用strace跟踪一下pid位13619的ssh进程,其中-ff参数很重要,可以跟踪fork的子进程。

QUOTE:

root@laptop:/usr/local/openssh2/sbin# strace -o aa -ff -p 13619

然后我们登录ssh,成功登录之后,我们看看当前目录,生成了strace的输出

QUOTE:

我们grep一下open系统调用,然后过滤掉错误信息和/dev/null信息,以及denied信息,并且找WR的,就是读写模式打开的,因为要把记录的密码写入文件,肯定要是以写方式打开的文件,大致的看看,很容易找到异常文件/tmp/xxxxxx

QUOTE:

通过上面的方法,我们可以大致的诊断一下我们的sshd是否被放了后门,但是因为sshd后门多种多样,上面我说到的sshd后门是比较优秀的一种,他可以设置是否记录密码,如果设置不记录密码,那么我们用strace估计是发现不到他的,但是还是有一些ssh后门还要用特殊的配置文件,读取特殊的密码文件,这种我们用strace就十分容易发现他们了。

[via@m0r5/3est]