 |
23.03.2012, 01:17
|
|
Постоянный
Регистрация: 16.10.2011
Сообщений: 326
С нами:
7670486
Репутация:
76
|
|
Доброй ночи. Собственно, назрел вопрос - как сохранить доступ к серверу(точнее к его командной оболочке), если вебшелл найдут и потрут при условии, что мы не используем руткиты?
Допустим, сценарий такой: удалось залить вебшелл, пробросить бекконнект, порутать сервер, создать бинарник вида
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]main[/COLOR][COLOR="#007700"]() {
[/COLOR][COLOR="#0000BB"]setuid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]setgid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]system[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/bin/bash"[/COLOR][COLOR="#007700"]);
}[/COLOR][/COLOR]
и запрятать его путем
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]mv имя_бинарника[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]bin[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]имя_бинарника[/COLOR][/COLOR]
Но ведь основная проблема в том, если я правильно понимаю, что при потере вебшелла не удастся забиндиться/забекконектиться и, соответственно, мы потеряем доступ к этому бинарнику.
Что можно можно придумать (в *nix не силен, да, и очень плохо знаю его матчасть) за то время, пока есть полная власть над сервером? При условии что телнет закрыт, а сбрасывать ssh-пароль root'а не комильфо. |
|
|
23.03.2012, 01:22
|
|
Познающий
Регистрация: 02.01.2009
Сообщений: 90
С нами:
9134867
Репутация:
44
|
|
Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался .
|
|
|
|
23.03.2012, 01:25
|
|
Постоянный
Регистрация: 16.10.2011
Сообщений: 326
С нами:
7670486
Репутация:
76
|
|
Сообщение от DeepBlue7
Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался
.
А если сервер не выключался годами? И не планирует?
|
|
|
|
23.03.2012, 01:46
|
|
Познающий
Регистрация: 02.01.2009
Сообщений: 90
С нами:
9134867
Репутация:
44
|
|
Сообщение от Га-Ноцри
А если сервер не выключался годами?
И не планирует?
Если линя, то почему бы в cron не засунуть ?
|
|
|
|
23.03.2012, 01:57
|
|
Постоянный
Регистрация: 16.10.2011
Сообщений: 326
С нами:
7670486
Репутация:
76
|
|
Сообщение от DeepBlue7
В cron джобы засунуть ?
Как вариант(записал в блокнот).
А еще? Акцентирую внимание - что на данный момент есть полная безграничная власть над сервером. Но она может, cкорее всего, внезапно оборваться(вебшелл удалят). Что еще можно придумать под рутом, чтобы потом получить баш сервера удаленно?
|
|
|
|
23.03.2012, 01:59
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
С нами:
9030566
Репутация:
2017
|
|
почему бы не сделать бэкдор в одном из файлов? шелл пропадет, есть вероятность что бэк останется, а через бэк заново залиться
__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.
|
|
|
|
23.03.2012, 02:12
|
|
Постоянный
Регистрация: 16.10.2011
Сообщений: 326
С нами:
7670486
Репутация:
76
|
|
Сообщение от HAXTA4OK
почему бы не сделать бэкдор в одном из файлов?
Спасибо за ответ. Но это скорее теоретическая задача, которая не дает покоя. Тут скорее вопрос рассуждений.
Да, мы можем сделать бэкдор, залиться через него по новой, потом опять компилить сплоит и так тысячу раз. Мы можем засунуть свой бинарник в крон - но это будет продолжатся до его удаления, не более.
Поставим вопрос по другому - у вас есть 30 минут под рутом на целевой системе. Что бы вы сделали, чтобы максимально на ней закрепиться без использования руткитов(IDS и админы не дремлют), чтобы потом, в кратчайшие сроки восстановиться в правах до рута.
Как-то так.
|
|
|
|
23.03.2012, 07:10
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
может имеет смысл протроянить какую нить часто используемую библиотеку которая будет открывать порт для конекта?!
|
|
|
|
23.03.2012, 10:35
|
|
Постоянный
Регистрация: 13.10.2010
Сообщений: 375
С нами:
8200406
Репутация:
38
|
|
Установить что-то типо rAdmin или пропатчить ядро того же nc. Понапрятать уйму суидников. Почистить все логи. Надеятся, что ничего не удалят.
|
|
|
|
23.03.2012, 15:54
|
|
Постоянный
Регистрация: 01.12.2011
Сообщений: 560
С нами:
7604246
Репутация:
267
|
|
Посмотри видос:
http://forum.antichat.net/threadedpost3071617.html
Думаю админы нe спалят.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
