• XSS.stack #1 – первый литературный журнал от юзеров форума

Заражение unix* серверов!

Отслеживать
Harbour

Harbour

(L3) cache
Забанен
Регистрация
28.02.2020
Сообщения
176
Реакции
39
Пожалуйста, обратите внимание, что пользователь заблокирован
надежней повесить свой dropbear процесс и скрыть/замаскировать его. замена sshd - это палево, после апдейта будет тупо видно что версия не та.
 
Harbour сказал(а):
надежней повесить свой dropbear процесс и скрыть/замаскировать его. замена sshd - это палево, после апдейта будет тупо видно что версия не та.
а есть примеры сорцов где такое реализовано? интересно глянуть
 
Пожалуйста, обратите внимание, что пользователь заблокирован
abruptum сказал(а):
а есть примеры сорцов где такое реализовано? интересно глянуть
dropbear открытый проект. при наличии рута замаскировать процесс как два пальца, это отдельная емкая тема. без наличия рута можно затереть argv0 или заменить имя процесса на что-либо не бросающееся в глаза - bash/nginx/kworker/etc.
 
Harbour сказал(а):
dropbear открытый проект. при наличии рута замаскировать процесс как два пальца, это отдельная емкая тема. без наличия рута можно затереть argv0 или заменить имя процесса на что-либо не бросающееся в глаза - bash/nginx/kworker/etc.
есть популярные lkm rootkitы типа reptile и diamorphine, скрывают себя на lsmod, процессы по pid и файлы-папки по префиксу - при наличии рута с ними все легко и они решают проблему persistance в системе, то есть после ребута будут жить, но вот постоянно компилять на ломаном хосте это боль (то хедеров нет, то даже gcc - урезанные версии линуха бывают). поэтому я и спросил про примеры сорцов проектов где можно компильнуть под x64 linux и не парясь втыкать за 1 секунду куда надо, а. у ТС так и есть. удобно.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
abruptum сказал(а):
есть популярные lkm rootkitы типа reptile и diamorphine, скрывают себя на lsmod, процессы по pid и файлы-папки по префиксу - при наличии рута с ними все легко и они решают проблему persistance в системе, то есть после ребута будут жить, но вот постоянно компилять на ломаном хосте это боль (то хедеров нет, то даже gcc - урезанные версии линуха бывают). поэтому я и спросил про примеры сорцов проектов где можно компильнуть под x64 linux и не парясь втыкать за 1 секунду куда надо, а. у ТС так и есть. удобно.
так не надо собирать на хосте ;) там то и места может не быть для этого. смотрим что за ядро/libc и собираем на своей тачке в спец. подготовленном докере
 
Пожалуйста, обратите внимание, что пользователь заблокирован
abruptum сказал(а):
reverse ssh/shell
ага, пишешь скрипт - раз в час долбится по определенному имени, если оттуда приходит IP, то логинится туда с reverse ssh или соединяется с пробросом ssh порта
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх