если есть рутовый доступ на linuxовую машинку куда ходят и другие админы какие есть готовые решения по подмене демона sshd, чтобы работал так же, но сохранял парольчики в отдельный файлик например?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
подмена sshd
- Автор темы kostr332
- Дата начала
есть где? в продаже - видел лишь раз и там был бэкдор добавлен в демон ссш. а на практике вижу регулярно.
другие бинарники тоже пересобирают из сорцев - добавляя нужный фунционал
- Автор темы
- Добавить закладку
- #3
м.б. есть где-нибудь статья или пост о том как это делается?
проэкт опенсурс, можно нанять разраба что бы сделал. Если конечно поймет код openssh. Ну и если технически реализуемо
сорцы ссшд открыты и хорошо документрванны - в статье нет необходимости. прочти код и гугли как он работает - дальше ищи место чтоб впехнуть свой фунционал.
копиль и ложи вместо старого бинаря свой. и сделай так чтоб при обнове пакетов - тоесть при обновлении ссш твой бинарь не перезаписало новым. и лутай профит
а это может быть проблемой если путь до so файлика с зависимостями изменится. можно конечно упороться и сделать свой репозиторий и сделать приоритетным, но кажется будет палевно
протроянь еще одного демона - который будет следить за состоянием sshd и вернет все назад - в случае обновы
Легче поднять свой репозиторий))
во первых нет не легче,
фунция проверки контрольной суммы бинарника займет дай бог - 50 строк
еще 50 строк займет фунциия замены бинарника на протрояненый после обновы
который улетит в блэклисты после первого же крупного трагета - если вы работайте с низколиквидным материалом - то да легче так.
Если ставишь бэкдор в крупной сети и потом там кое-что происходит, все коодринты полетят в блэк листы.
Или другой пример - там может стоять SEIM - или у админа хватает мозгов\времи\желания - чтоб чекать логи и телеметрию - и тогда
выебнут тебя с хост сразу после добавляения нового источника пакетов, не успеешь сказать - "Ой"
добавление нового репозитория - куда заметнее подмены бинарника
Последнее редактирование:
Возможно вы правы, у меня нет опыта работы с сетями
Тогда можно собрать статичный биннарник без зависимостей, если важен размер то в alpine (если сработает)
чего-чего?
вообще пох как бинарник ты соберешь, при обновлении OpenSSH у тебя может сменится бинарь sshd.
И не важно как ты свой бинарь там собирал если при обнове будет замена бинаря.
Вы че тут развели то ?
Чтобы сохранять все пароли которые админ ввел при логине по ssh достаточно впихнуть PAM модуль, выглядит он примерно так
Чтобы сохранять все пароли которые админ ввел при логине по ssh достаточно впихнуть PAM модуль, выглядит он примерно так
А не кто не спорит, я вообще про другое.
И я вроде нормально общаюсь без "чего-чего"
достаточно впихнуть PAM модуль - который палится всеми доступными с гит-а чекерами?
да и бэкдор это не про сохранение посов от ссх - я тут какбэ совсем про другое
не думал что - это не нормально. я пожалуй удаюсь тогда если вы тут такие нежные)
всего доброго
Последнее редактирование:
И тебе всего доброго
Есть два варианта:
1. сложный: надо курить privsep и PAM authentication. Если отключить PAM, то sshd будет очень интересно логировать события в jounalctl. Придется еще курить jounalctl
2. простой: зачем тебе именно бекдорить sshd? можно пересобрать какой-нибудь sudo, что в разы упрощает задачу
1. сложный: надо курить privsep и PAM authentication. Если отключить PAM, то sshd будет очень интересно логировать события в jounalctl. Придется еще курить jounalctl
2. простой: зачем тебе именно бекдорить sshd? можно пересобрать какой-нибудь sudo, что в разы упрощает задачу
- Автор темы
- Добавить закладку
- #18
пересобрать судо проще чем ссшд? судо не подходит, т.к. судя по баш_хистори другие админы после логина сразу уходят в су, а пароль рута я итак знаюЕсть два варианта:
1. сложный: надо курить privsep и PAM authentication. Если отключить PAM, то sshd будет очень интересно логировать события в jounalctl. Придется еще курить jounalctl
2. простой: зачем тебе именно бекдорить sshd? можно пересобрать какой-нибудь sudo, что в разы упрощает задачу
можно пересобрать, а можно написать bash скрипт (а после скомпилировать в binary), который будет имитировать работу sudo, но по факту получать пароль и пересылать (curl?) дальше, а затем полученные аргументы передавать настоящему sudo
Все эти методы хороши, если не работает какой-нибудь selinux/apparmor, который вполне может ограничивать и работу рута, при определенных условиях. А также если система не под контролем IDS/IPS и других средств мониторинга, аверов.
Когда работают системы защиты, все это усложняется на порядок.
Когда работают системы защиты, все это усложняется на порядок.