目录
- 介绍
- 步骤
介绍
Linux alias命令用于设置指令的别名。
用户可利用alias,自定指令的别名。若仅输入alias,则可列出目前所有的别名设置。alias的效力仅及于该次登入的操作。若要每次登入是即自动设好别名,可在.profile或.cshrc中设定指令的别名。
软连接后门的原理是利用了PAM配置文件的作用,将sshd文件软连接名称设置为su,这样应用在启动过程中他会去PAM配置文件夹中寻找是否存在对应名称的配置信息(su),然而 su 在 pam_rootok 只检测uid 0 即可认证成功,这样就导致了可以使用任意密码登录
步骤
输入alias,可以看到很多都被修改为了pintf ""
在top命令中,cpu并无异常,查看计划任务crontab
top
sudo crontab -l
查看相应的文件,.b4nd1d0和placi
在.b4nd1d0文件中存在公共矿池的url
删除两个文件和别名(输入unalias -a)后,重启服务器仍存在,可能存在永久修改别名的情况
查看/home/zyr/.bashrc的文件,发现可疑的别名修改文件source /var/tmp/.SQL-Unix/.SQL/.db
查看/var/tmp/.SQL-Unix/.SQL/.db文件,是修改别名的文件
切换到root用户,打开.bashrc文件
查看/usr/.SQL-Unix/.SQL/.db文件,也是修改别名的文件
清除.bashrc和修改别名的文件后重启服务器,开机无错误提示,输入alias命令不显示任何信息,即代表alias命令正常
reboot
在/etc/passwd文件中可以看到后门账户
查看zyr用户是否有ssh后门,已经被写入了ssh公钥后门
