PDA

Просмотр полной версии : resshd.c


slashd
10.02.2012, 03:28
Программа для загрузки нового конфига sshd прямо в память без перезапуска sshd.
Тестил на centos 6.2, ubuntu server 10.04.3.
[!] Не портирована под х64 и тем более под фряху.

http://rghost.ru/private/55406559/8e00b301e359ace8eb24e408521e67a7

tipsy
10.02.2012, 15:01
Было бы интересно почитать, с какой целью писалась программа

slashd
10.02.2012, 17:02
С целью оставить меньше следов в системе. =)
Часто бывают случаи:
PasswordAuthentication no
PermitRootLogin noИ чтобы лишний раз не перезапускать sshd можно поменять конфиг в памяти процесса.

yesday
15.02.2012, 01:17
А что произойдёт при рестарте процесса sshd (нередкий случай на самом деле)?
Если есть функция "положить конфиг из памяти в /etc/" - круто. Если нет - было б хорошо добавить.
А то одноразовый костыль получается.

slashd
15.02.2012, 05:32
А что произойдёт при рестарте процесса sshd (нередкий случай на самом деле)?
Это событие будет записано в логах.
Если есть функция "положить конфиг из памяти в /etc/" - круто. Если нет - было б хорошо добавить.
Не совсем понятно - зачем данная функция?

yesday
16.02.2012, 00:49
Это событие будет записано в логах.

Переформулирую - что произойдёт с настройками, которые мы подменили, при рестарте? Вернутся же в те, что в конфиге прописаны, правильно?


Не совсем понятно - зачем данная функция?
Как раз для того, чтобы подменённые опции пережили рестарт демона.

16bit
16.02.2012, 02:35
а в какие логи пишется это событие?

b3
16.02.2012, 06:56
При перезапуске ssh
./auth.log:Feb 16 06:50:35 debtest sshd[1401]: Server listening on :: port 22.
мб еще где-то пишет, нужно смотреть директиву
#Logging
SyslogFacility AUTH
LogLevel INFO

slashd
16.02.2012, 17:14
Переформулирую - что произойдёт с настройками, которые мы подменили, при рестарте? Вернутся же в те, что в конфиге прописаны, правильно?

Загрузится конфиг /etc/ssh/sshd_config, ну или тот который прописан в стартовом скрипте.

yesday
16.02.2012, 22:04
Загрузится конфиг /etc/ssh/sshd_config, ну или тот который прописан в стартовом скрипте.

Это возвращает нас к началу - есть ли опция "записать подменённые настройки в конфиг".
Я есличо не троллю, правда - рестарт sshd нередкое явление, было бы неплохо чтобы нужные настройки оставались в нужном нам состоянии.

SynQ
17.02.2012, 09:33
Это возвращает нас к началу - есть ли опция "записать подменённые настройки в конфиг".
Я есличо не троллю, правда - рестарт sshd нередкое явление, было бы неплохо чтобы нужные настройки оставались в нужном нам состоянии.

Это ведь можно самому сделать руками? Насколько я понимаю цель resshd во временном и незаметном (на диске) изменении конфига в памяти.

yesday
17.02.2012, 13:06
Это ведь можно самому сделать руками?
Можно.
Но согласись, админу гораздо труднее будет понять кто же поменял конфиг, если время модификации файла конфигурации sshd не будет связано с временем возникновения прочих странностей на серваке, которыми обычно сопровождается pwn'ing ("левые" процессы, файлы, ненормально большой трафик etc.)
То есть в случае палева - наши изменения с большей вероятностью останутся нетронутыми и незамеченными.

slashd
18.02.2012, 15:33
Можно.
Но согласись, админу гораздо труднее будет понять кто же поменял конфиг, если время модификации файла конфигурации sshd не будет связано с временем возникновения прочих странностей на серваке, которыми обычно сопровождается pwn'ing ("левые" процессы, файлы, ненормально большой трафик etc.)
То есть в случае палева - наши изменения с большей вероятностью останутся нетронутыми и незамеченными.
Что мешает подредактировать конфиг, так как ты считаешь нужным и загрузить новый конфиг в память без рестарта sshd..
Тем более, что если админ переконифгурировал sshd под свои нужды, то он, с большой долей вероятности, не забудет какие опции изменил и зачем.

ont
14.09.2012, 12:28
В тему бэкдоринга живого sshd, без изменения exe-файла:

https://github.com/blasty/ssh_rape (https://github.com/blasty/ssh_rape) -- исходный код
http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/blasty.pdf (http://http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/blasty.pdf) -- слайды презентации

Рассмотрены проблемы с ASLR и отключенными debug-symbols.

platimnebtc
11.03.2016, 12:49
У кого-нибудь остался исходник этого творения? Перезалейте пожалуйста!