首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

利用系统特性伪装成一个免密登陆后门

引言 这是一个使用到了一点小伎俩的后门,如果渗透进入一个系统并拿到root权限的shell,对方防火墙没有限制,则可以通过本文的方法运行一个root可登陆且不需要权限的ssh后门。...这可以用来欺骗一些没有安全意识和经验的系统管理员可以在肉鸡上执行以下命令,运行这个ssh后门 ln -sf /usr/sbin/sshd /tmp/su;nohup /tmp/su -oPort=2022...然后打开一个新的登陆会话测试一下: ? 账户root, 密码随便填写 ? 登陆成功 ? 0x01....为什么可以免密登陆 上面的后门运行的进程名是su,当用户登录的时候,会去/etc/pam.d/下寻找su文件(其实这里不一定要是su文件,只要/etc/pam.d 目录下存在和后门的进程名同名的文件,则系统在认证的时候就会去读取这个文件内容进行认证...也就是根据后门运行的进程userid来的, 只要后门进程是以userid 为0的用户运行,那么什么用户都可以免密登陆 换个普通用户试试 ? 免密登录成功

1.2K60
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    网站被黑后和网站被入侵更好的处理解决办法

    其实网站webshel网页木马l就是一个asp脚本或php脚本木马后门,黑客在入侵了一个网站后,常常会在将这些 asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。...然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载编辑以及篡改网站文件代码、查看数据库、执行任意程序命令拿到服务器权限等。阿里云的主机管理控制台中的提示图: ?...2)黑客通过sql注入获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。...如备份时候把备份文件的后缀改成asp。...3)如果自己对程序代码不是太了解的话,建议找网站安全公司去修复网站的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司,做深入的网站安全服务,来保障网站的安全稳定运行

    2.2K31

    原创 Paper | xz-utils 后门代码分析

    tarball 中分发包含后门代码的项目源码(即与 Github 项目主页的代码不一致,增加后门代码的隐蔽性),因此我们需要在下游发行版指定 commit 才能获取包含后门代码的源代码(xz-utils-debian...,如下: 图3-1 编译liblzma5.so以及比较 4 编译脚本环节 参考资料 攻击者将后门代码隐藏在xz-utils的源码中,并通过控制编译脚本的运行,实现源代码在编译过程中将后门代码植入到 liblzma5...,关键代码为调用后门主函数代码 sub_16710()/hook_main(),随后根据后门代码的执行结果,按需执行原始的 RSA_public_decrypt() 函数,回归正常的身份认证逻辑,如下:...在本文中,我们围绕着 xz-utils 后门代码的整个生命周期进行分析研究,沿着后门代码的执行路径,从 liblzma.so 的编译阶段到 sshd 服务的启动阶段,分别复现了其后门的植入和安装工程,随后从后门关键函数...通过以上 xz-utils 的后门代码分析可以看到攻击者具有高水平的技术能力,而这仍是管中窥豹,我们仅仅只是对后门代码的主流程进行分析研究,根据互联网上的多份技术报告剖析,攻击者在代码混淆、反调试、sshd

    54810

    ASP.NET 防止同一用户同时登陆

    要防止同一用户同时登陆,首页应该记录在线用户的信息(这里与用户名为例),然后判断正在登陆的用户里面是否已存在。...在这里使用一个cache存放已经登陆的用户名,但是还有一个问题就是要知道用户是什么时候离开系统的呢?这就要定期清除cache中的内容了,也就是设置一个cache的时间。...这个时间可以跟用户的session值联系起来,刚好当用户session值失效的时候该用户在cache里面的信息也会被清空.这样就达到了防止同时登陆的效果,具体代码如下: string key = TextBox1...cache关键字 string uer = Convert.ToString(Cache[key]); //读取cache中用户相应的值 //判断cache中是否有用户的信息,如果没有相关的值,说明用户未登陆... Response.Write("alert('您的账号已经登陆!')

    1.5K10

    浅谈Webshell对网站的危害以及预防措施.

    在互联网中,会潜在各种各样对企业网站、数据信息、服务器等造成威胁的脚本、代码漏洞、木马、病毒等程序。最终给网络犯罪分子钻空子的机会,以此来获取利益。今天一个小哥哥给我讲说他这两天处理的一个案例。...简单理解就是网站的后门工具。比如就一个庭院,设计了前门和后门,而我们正常的情况下关注最多都是前门,后门会被忽视掉,这就给小偷提供了机会,造成财物失窃等损失。网站的后门更为严重。...Webshell入侵网站的预防措施有: 第一时间更新,使运行程序尽量处在最新版本,配置好服务器的FSO权限; 建议用户通过ftp来上传、维护网页,尽量不安装ASP上传程序;如果要下载,需到正规网站下载ASP...程序; 对上传的程序进行安全认证,权限设为只允许信任的人上传; 如有发现文件内容中存在的木马代码,病毒链接等,立即删除。...不在网页中留下程序登陆页面链接;尽量关闭网站内的搜索功能,选择外部搜索; 定时加密备份数据库等重要文件,定期更改程序管理员的用户名和密码,不用常用数字,最好是中文,英文,字母复合型方式。

    1.8K10

    网站安全对被植入webshell后门 该怎么解决

    昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示...看到阿里云给的木马路径以及解决方案,随即登陆客户的linux服务器,查看到www目录下确实多出一个indnx.php的文件,用SFTP下载下来这个文件并打开,看到是一些加密的代码,一看就是木马代码,如下图...Webshell一般是asa,cer,asp,aspx,php,jsp,war等语言的脚本执行文件命名的,也可以叫做是网站后门,攻击者入侵网站后都会将webshell木马后门文件上传到服务器,以及网站的根目录下...,在转换赋值的过程中导致了远程代码的执行,可以伪造攻击的语句进行插入,导致服务器执行了代码,并上传了一句话木马后门。...4.对网站的所有代码进行检测,是否存在一句话木马后门文件,可以对比之前备份的文件,一一对比,再一个查看文件的修改时间,进行删除。

    3.7K11

    asp.net 2.0防止同一用户同时登陆

    要防止同一用户同时登陆,首页应该记录在线用户的信息(这里与用户名为例),然后判断正在登陆的用户里面是否已存在.在这里使用一个cache存放已经登陆的用户名.但是还有一个问题就是要知道用户是什么时候离开系统的呢...这就要定期清除cache中的内容了,也就是设置一个cache的时间.这个时间可以跟用户的session值联系起来.刚好当用户session值失效的时候该用户在cache里面的信息也会被清空.这样就达到了防止同时登陆的效果...,具体代码如下: 放在登陆成功的地方                         string key = TextBox1.Text;   //用户名文本框设为cache关键字                        ...Convert.ToString(Cache[key]);  //读取cache中用户相应的值                         //判断cache中是否有用户的信息,如果没有相关的值,说明用户未登陆...                            Response.Write("alert('您的账号已经登陆!')

    98810

    网站漏洞扫描 phpstudy后门代码的分析与测试

    phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立...该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门,具体的名称,经过我们SINE安全技术的安全检测,可以确定是phpstudy2016.11.03版本,以及phpstudy2018.02.11...Accept-Language: zh-CN,zh;q=0.6 Accept-Encoding:gzip Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(这个是POC代码加密的...Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559; Connection: close 漏洞的执行位置是在数据包的Accept-Charset里,这里写入恶意代码加密的...如果您对代码不是太了解的话,也可以找专业的网站安全公司来处理解决,国内SINESAFE,启明星辰,绿盟都是比较不错的,目前该漏洞影响范围较广,请各位网站运营者尽快修复漏洞,打好补丁,防止网站被攻击,被篡改

    1.6K40

    如何在百万行代码中发现隐藏的后门

    试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。...通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置。当然,第一个前提是,你所在的团队已具备代码版本管理的能力,如果你是个人站长,相信你已经备份了原始代码。...本文将结合实际应用,介绍几种文件完整性验证方式,可以帮助你找出代码中所有隐藏的后门。...4、代码对比工具 关键词:代码对比工具,搜索一下,你会找到很多好用的工具。这里我们推荐两款效果还不错的工具,Beyond Compare和WinMerge。...3、双击具体文件,进入代码对比,找到代码差异部分。 ?

    94730
    领券