目錄

1. SSH公私鑰與SSH公私鑰后門介紹

1.1 SSH公私鑰介紹

1.1.1 公鑰和私鑰的基本概念

1.1.2 SSH公私鑰認證的工作原理(很重要)

1.2 SSH公私鑰后門介紹

2. 如何在已拿下控制權(quán)限的主機創(chuàng)建后門

2.1 使用 Xshell 生成公鑰與私鑰

2.2 將公鑰上傳到被需要被植入后門的服務(wù)器centos7

2.2.1 將公鑰文件上傳或下載到目標服務(wù)器

2.2.2 將公鑰寫入.ssh/authorized_keys文件

2.3 Xshell 免密登錄測試

3. 如何進行應(yīng)急響應(yīng)

3.1? 查看服務(wù)器開放的端口號與服務(wù)

3.2 查看可疑進程

3.3 查看SSH成功登錄的日志(查看可疑ip和用戶)? ??

3.4 查看被修改的.ssh/authorized_keys文件信息

3.5 清除后門?

---

1. SSH公私鑰與SSH公私鑰后門介紹

1.1 SSH公私鑰介紹

????????SSH（Secure Shell）公私鑰對是一種用于認證的加密技術(shù)，它允許用戶通過持有私鑰來遠程登錄服務(wù)器，而無需輸入密碼。這種認證方式比傳統(tǒng)的密碼認證更安全，因為它依賴于加密技術(shù)來驗證用戶的身份。

1.1.1 公鑰和私鑰的基本概念

• 公鑰（Public Key）：這是一個可以公開的密鑰，通常用于加密數(shù)據(jù)或驗證簽名。在SSH認證中，公鑰用于加密會話密鑰，確保只有持有對應(yīng)私鑰的用戶才能解密并建立連接。

• 私鑰（Private Key）：這是一個必須保密的密鑰，用戶用它來解密接收到的數(shù)據(jù)或?qū)?shù)據(jù)進行簽名。在SSH認證中，私鑰用于解密由公鑰加密的會話密鑰，從而建立安全的SSH連接。

1.1.2 SSH公私鑰認證的工作原理(很重要)

1. 密鑰生成：用戶使用SSH密鑰生成工具（ssh-keygen）創(chuàng)建一對密鑰，即公鑰和私鑰。

2. 公鑰部署：用戶將公鑰復制到服務(wù)器的~/.ssh/authorized_keys文件中，這個文件存儲了允許登錄到該服務(wù)器的所有公鑰。

3. 認證過程：

   • 當用戶嘗試使用SSH客戶端連接服務(wù)器時，服務(wù)器會從authorized_keys文件中讀取公鑰。
   • 服務(wù)器使用這個公鑰加密一個會話密鑰，并將其發(fā)送給客戶端。
   • SSH客戶端使用對應(yīng)的私鑰解密會話密鑰，然后使用這個會話密鑰與服務(wù)器建立加密的SSH連接。

4. 連接建立：如果客戶端能夠成功解密會話密鑰并建立連接，服務(wù)器就知道客戶端持有正確的私鑰，從而驗證了用戶的身份。

1.2 SSH公私鑰后門介紹

????????SSH公私鑰后門是一種利用SSH協(xié)議的公鑰認證機制來實現(xiàn)未授權(quán)訪問的技術(shù)。在SSH協(xié)議中，除了傳統(tǒng)的密碼認證方式外，還可以使用公鑰和私鑰對進行認證。用戶將公鑰放置在服務(wù)器的~/.ssh/authorized_keys文件中，之后使用對應(yīng)的私鑰即可登錄服務(wù)器，無需輸入密碼。
????????SSH公私鑰后門的關(guān)鍵在于攻擊者通過某種手段獲取到服務(wù)器的寫入權(quán)限，將自己的公鑰添加到authorized_keys文件中，或者篡改已有的公鑰。這樣，攻擊者就可以使用對應(yīng)的私鑰在不被察覺的情況下登錄服務(wù)器。(就是在有權(quán)限的情況下,自己增加了一個額外的登錄認證的方式)

2. 如何在已拿下控制權(quán)限的主機創(chuàng)建后門

2.1 使用 Xshell 生成公鑰與私鑰

在攻擊機上使用 Xshell 生成私鑰，按照如圖所示選擇“新建用戶密鑰生成向?qū)А?/p>

之后輸入 密鑰名稱與密碼（可任意設(shè)置），此處密碼設(shè)為：xiaoyu123 ，之后點擊下一步

之后點擊“保存為文件”

成功保存文件之后，再點擊完成

出現(xiàn)彈窗提示，即正確生成，此處密鑰為私鑰

2.2 將公鑰上傳到被需要被植入后門的服務(wù)器centos7

2.2.1 將公鑰文件上傳或下載到目標服務(wù)器

????????將公鑰 idrsa2048.pub ，讓靶機可以下載改公鑰，也就是將公鑰通過wget的方式傳到靶機上(就是想辦法將公鑰上傳到服務(wù)器)

????????這里如果有上傳的權(quán)限或是可以通過ssh遠程連接的話,可以直接將公鑰上傳到需要留后門的主機,或者通過在本機搭建服務(wù)或是在服務(wù)器上搭建服務(wù),讓靶機能夠通過wget下載到靶機就可以了

2.2.2 將公鑰寫入.ssh/authorized_keys文件

????????將公鑰 idrsa2048.pub 內(nèi)容寫進 .ssh/authorized_keys 文件中,查找 authorized_keys 文件的位置，發(fā)現(xiàn)該服務(wù)器中無該文件,注意這里需要再~目錄的上一層查找

find -name authorized_keys

那么我們就開啟免密登錄功能,命令如下：

# 輸入命令后一直回車就可以了
ssh-keygen -t rsa

在ssh目錄下創(chuàng)建該文件,命令如下：

touch /root/.ssh/authorized_keys

?

接下來將xhell的公鑰追加到 authorizedkeys 文件，并且給 authorizedkeys 文件賦予執(zhí)行權(quán)限

cd /root
cat id_rsa_2048.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys

2.3 Xshell 免密登錄測試

點擊新建會話，輸入主機IP地址

????????輸入完之后，不要點擊確定，接下來點擊 “用戶身份驗證”，并選擇 Public Key ,之后輸按照如圖所示輸入用戶名密碼（本例是root/xiaoyu123），下面的秘鑰的密碼也是xiaoyu123,輸完用戶名密碼之后點擊“確定”

選擇會話之后點擊連接,不需要輸入用戶名密碼就可以成功登錄

輸入ifconfig查看連接的服務(wù)器ip地址

3. 如何進行應(yīng)急響應(yīng)

3.1? 查看服務(wù)器開放的端口號與服務(wù)

? ? ? ? 查看服務(wù)器開放的端口號，發(fā)現(xiàn)有個ssh連接，并且與負責人確定改IP正常情況下不能登錄服務(wù)器

# 查看服務(wù)器開放的端口號
netstat -anpt

3.2 查看可疑進程

根據(jù)PID號查看進程，并未發(fā)現(xiàn)異常，是正常的ssh登錄

ll /proc/1948

3.3 查看SSH成功登錄的日志(查看可疑ip和用戶)? ??

? ? ?這里其實還是看不出來什么,很多師傅是不是想到要進行查看文件是否被修改,這里其實可以通過查看登錄成功的日志信息發(fā)現(xiàn),不懂命令的師傅可以看我之前的文章,基本每一篇都有在提

more /var/log/secure | grep 'Appected'

????????發(fā)現(xiàn)一個通過秘鑰登錄的用戶,這里可以和運維人員進行確認,那么接下來查看authorized_keys 文件是否被篡改

3.4 查看被修改的.ssh/authorized_keys文件信息

cat /root/.ssh/authorized_keys

發(fā)現(xiàn)被添加了未知用戶的公鑰,查看文件的一些屬性

查看被篡改時間，確定是最近被篡改的

#  這里用下面的命令都可以查看最近一次文件的修改時間
stat /root/.ssh/authorized_keys
ll /root/.ssh/authorized_keys

3.5 清除后門?

如何清除后門,直接將公鑰文件的信息刪除即可

# 下面的三條命令都可以清除文件中的信息
sudo truncate -s 0 /root/.ssh/authorized_keys
sudo sh -c 'echo "" > /root/.ssh/authorized_keys'
sudo echo -n "" > /root/.ssh/authorized_keys