开发者社区> 科技小能手> 正文

linux下sshd被后门替换后的暂时解决办法--dropbear

简介:
+关注继续查看

最近公司被入侵了,并且留下了ssh后门,因此必须得重装openssh,但是一重装的话,之前的连接就会断开,要是这样的话,远程连接就连不上了,面临的问题恐怕就只有到机房去安装了,要是公司离机房较远的话,就是一个大问题了,因此可以使用dropbear来暂时替代openssh,使用dropbear来连接服务器,来对openssh进行重装。ssh后门使sshd文件被替换,系统一些常用的关键的命令也被替换。(可以使用lsattr来查看隐藏的属性:lsattr  /bin  /sbin  /usr/bin  /usr/sbin等目录!)

首先发几张图片供大家欣赏:

 

sshd问题文件,被替换了!!正常情况下应该是在/etc目录,而不是/usr/etc目录,请注意!!!!

 第二次被替换了,之前是/etc/gshdow++文件

下载安装dropbear:http://matt.ucc.asn.au/dropbear/dropbear-0.52.tar.gz

先简单介绍一下:dropbear是一个免费的开源软件,最新版本为0.52版的,而且还是2008年发布的,到现在好像也没更新了,他比openssh小,且运行时只运行一个进程,而不是openssh的两个进程,因此比openssh占的资源小,至于安全性来说,本人不知道怎样,因此只用来作为临时的ssh连接软件,必定openssh用的较为广泛且安全性较高!!!

在安装dropbear之前需,需先安装zlib: yum install zlib*

 先改一下openssh的端口吧,以免被dropbear占用:

vi /etc/ssh/ssh_config

找到Port 22 换成Port 2211 (自己随便设置)

然后service sshd restart即可,netstat查看连接端口已由22变成了2211

tar -xvzf dropbear-0.52.tar.gz

cd dropbear-0.52

./configure

make

makeinstall

生成的dropbear执行文件为:

dropbear: ssh2 server
dropbearkey: 密钥生成器
dropbearconvert: 可以转换openssh的密钥
dbclient: ssh2 client

配置dropbear:

生成ssh连接所需要的公钥,如下:

/usr/local/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key     (dss加密,长度默认为1024,而且只能是这么多)

或者:/usr/local/bin/dropbearkey -t rsa -s 4096 -f /etc/dropbear/dropbear_rsa_host_key  (rsa加密,长度可以自己设,1024的倍数)  --不生成密钥或者公钥,dropbear将无法启动。

RSA: RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。RSA的缺点主要有:A)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。B)分组长度太大,为保证安全性,n 至少也要 600 bits以上,使运算代价很高,尤其是速度较慢,较对称密码算法慢几个数量级;且随着大数分解技术的发展,这个长度还在增加,不利于数据格式标准化。)                                                   

(DSA)是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS

(Digital Signature Standard)。
DSA:是基于整数有限域离散对数难题的,其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开,这样,当使用别人的p和q时,即使不知道私钥,你也能确认它们是否是随机产生的,还是作了手脚。RSA算法却作不到。

启动dropbear:

/usr/local/sbin/dropbear

启动后的端口为22。

dropbear默认的安装路径是:/usr/local/sbin

如果想监听特定的端口,按如下格式执行,如果不加此参数则会监听默认端口:

usr/local/sbin/dropbear –p 1984

更改默认监听的端口方法:

在编译dropbear之前,编辑options.h更改端口即可。

想查看dropbear的使用,可以执行:

/usr/local/sbin/dropbear -h

在安装完成之后就可以重新安装openssh了,可以使用yum安装,比较方便。之后就是去除那些后门文件,并更换正常的系统命令文件.      yum install net-tools可以将ls ,ps 等关键命令重装。

 涉及到一些ssh后门程序,本文就不提供了,感兴趣的可以上网查找,这里只提供名字:mafix,shv4, shv5。中了此木马程序之后,会生成ttyload和ttymon进程,作为ssh连接的入口,只要看到此进程了需注意了!!!

完毕!!!



本文转自 zhangzj1030 51CTO博客,原文链接:http://blog.51cto.com/tech110/458115


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ZT:Vista不支持LinuxSamba Server的解决办法
http://www.linuxeden.com/html/solution/20071008/35602.html 原来Windows Vista强制使用NTLMv2认证,而 Samba Server 只支持NTLM 1. 单击“开始”,指向“程序”,然后单击“管理工具”。
683 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
28078 0
bboss发布apache cxf 2.7.6服务和定义客户端服务实例可能产生冲突解决办法
bboss发布apache cxf 2.7.6服务和定义客户端服务实例放到一起可能会产生冲突并导致服务发布失败,本文介绍这个冲突的解决办法。 首先介绍一下冲突现象,假设在bboss mvc的xml配置文件中定义一个控制器,并为这个控制器注入通过org.
1139 0
Linux找不到主机名解决办法
<div class="BlogTitle" style="padding:5px 70px 5px 0px; margin:0px 0px 10px; border-bottom-width:2px; border-bottom-style:solid; border-bottom-color:rgb(70,130,180); position:relative"> <h1 style
2443 0
android中listview滑动变黑的解决办法
最近写程序遇到一个滑动ListView 的Item时候,ListView背景总是黑色,不知道怎么解决,于是 百度一下就搞定了, 一下是博主的 b博文: 在 Android中,ListView是最常用的一个控件,在做UI设计的时候,很多人希望能够改...
471 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20154 0
23704
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载