Доброй ночи. Собственно, назрел вопрос - как сохранить доступ к серверу(точнее к его командной оболочке), если вебшелл найдут и потрут при условии, что мы не используем руткиты?

Допустим, сценарий такой: удалось залить вебшелл, пробросить бекконнект, порутать сервер, создать бинарник вида


PHP:
main() {

setuid(0);

setgid(0);

system("/bin/bash");

}

и запрятать его путем


PHP:
mv имя_бинарника/bin/имя_бинарника

Но ведь основная проблема в том, если я правильно понимаю, что при потере вебшелла не удастся забиндиться/забекконектиться и, соответственно, мы потеряем доступ к этому бинарнику.

Что можно можно придумать (в *nix не силен, да, и очень плохо знаю его матчасть) за то время, пока есть полная власть над сервером? При условии что телнет закрыт, а сбрасывать ssh-пароль root'а не комильфо.

Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался .

DeepBlue7 said:
Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался
.


А если сервер не выключался годами? И не планирует?

Га-Ноцри said:
А если сервер не выключался годами?
И не планирует?


Если линя, то почему бы в cron не засунуть ?

DeepBlue7 said:
В cron джобы засунуть ?


Как вариант(записал в блокнот).

А еще? Акцентирую внимание - что на данный момент есть полная безграничная власть над сервером. Но она может, cкорее всего, внезапно оборваться(вебшелл удалят). Что еще можно придумать под рутом, чтобы потом получить баш сервера удаленно?

почему бы не сделать бэкдор в одном из файлов? шелл пропадет, есть вероятность что бэк останется, а через бэк заново залиться

HAXTA4OK said:
почему бы не сделать бэкдор в одном из файлов?


Спасибо за ответ. Но это скорее теоретическая задача, которая не дает покоя. Тут скорее вопрос рассуждений.

Да, мы можем сделать бэкдор, залиться через него по новой, потом опять компилить сплоит и так тысячу раз. Мы можем засунуть свой бинарник в крон - но это будет продолжатся до его удаления, не более.

Поставим вопрос по другому - у вас есть 30 минут под рутом на целевой системе. Что бы вы сделали, чтобы максимально на ней закрепиться без использования руткитов(IDS и админы не дремлют), чтобы потом, в кратчайшие сроки восстановиться в правах до рута.

Как-то так.

может имеет смысл протроянить какую нить часто используемую библиотеку которая будет открывать порт для конекта?!

Установить что-то типо rAdmin или пропатчить ядро того же nc. Понапрятать уйму суидников. Почистить все логи. Надеятся, что ничего не удалят.

Посмотри видос:

http://forum.antichat.net/threadedpost3071617.html

Думаю админы нe спалят.