Гарантированный доступ к башу сервера при потере шелла(без руткитов).

23.03.2012, 01:17

Га-Ноцри

Guest

Сообщений: n/a

Провел на форуме:
103014

Репутация: 76

Доброй ночи. Собственно, назрел вопрос - как сохранить доступ к серверу(точнее к его командной оболочке), если вебшелл найдут и потрут при условии, что мы не используем руткиты?

Допустим, сценарий такой: удалось залить вебшелл, пробросить бекконнект, порутать сервер, создать бинарник вида

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]main[/COLOR][COLOR="#007700"]() { 

[/COLOR][COLOR="#0000BB"]setuid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]); 

[/COLOR][COLOR="#0000BB"]setgid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]); 

[/COLOR][COLOR="#0000BB"]system[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/bin/bash"[/COLOR][COLOR="#007700"]); 

}[/COLOR][/COLOR]

и запрятать его путем

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]mv имя_бинарника[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]bin[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]имя_бинарника[/COLOR][/COLOR]

Но ведь основная проблема в том, если я правильно понимаю, что при потере вебшелла не удастся забиндиться/забекконектиться и, соответственно, мы потеряем доступ к этому бинарнику.

Что можно можно придумать (в *nix не силен, да, и очень плохо знаю его матчасть) за то время, пока есть полная власть над сервером? При условии что телнет закрыт, а сбрасывать ssh-пароль root'а не комильфо.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям