怎么使用strace找出ssh后门

首先，我将编译一个ssh后门，它将记录/tmp/xxxxxx中的所有登录密码。

启动他。

引用:

root @ laptop:/usr/local/OpenSSH 2/sbin # PS aux | grep sshd

根13619 0.0 0.3 7432 1752？第23章第44节0点。/sshd -p 1234

root 13707 0.0 0.2 4292 1328 pts/3 R+23:58 0:00 grep sshd

我们用strace跟踪pid位为13619的ssh进程，其中-ff参数非常重要，可以跟踪fork的子进程。

引用:

root @ laptop:/usr/local/OpenSSH 2/sbin # strace-o aa-ff-p 13619

然后我们登录ssh。成功登录后，我们查看当前目录并生成strace的输出。

引用:

root @ laptop:/usr/local/OpenSSH 2/sbin # ls

aa 13636 aa . 13638 aa . 13640 aa . 13642 aa . 13644 aa . 13646 aa . 13648 aa . 13650 aa . 13652 aa . 13654 aa . 13656 sshd

13635 aa . 13637 aa . 13639 aa . 13641 aa . 13643 aa . 13645 aa . 13647 aa . 13649 aa . 13651 aa . 13653 aa . 13655 aa . 13657

Grep调用开放系统，然后过滤出错误消息、/dev/null消息和拒绝消息。对于WR来说，读写模式是开启的，因为要将记录的密码写入文件，必须是通过写入打开的文件。粗略看一下，很容易发现异常文件/tmp/xxxxxx。

引用:

root @ laptop:/usr/local/OpenSSH 2/sbin # grep open aa * | grep-v-e No-e null-e denied | grep WR

aa.13635:open("/tmp/xxxxxx "，O _ WRONLY | O _ APPEND | O _ CREAT | O _ large file，0666) = 3

aa.13635:open("/dev/ptmx "，O_RDWR) = 3

aa.13635:open("/dev/pts/5 "，O_RDWR|O_NOCTTY) = 6

aa.13635:open("/var/run/utmp "，O_RDWR) = 7

aa.13635:open("/var/log/wtmp "，O_WRONLY) = 7

aa . 13635:open("/var/log/lastlog "，O_RDWR|O_CREAT|O_LARGEFILE，02000) = 7

aa.13635:open("/var/run/utmp "，O_RDWR) = 6

aa.13635:open("/var/log/wtmp "，O_WRONLY) = 6

aa.13638:open("/dev/pts/5 "，O_RDWR|O_LARGEFILE) = 7

aa.13638:open("/dev/tty "，O_WRONLY|O_LARGEFILE) = 8

aa.13638:open("/dev/tty "，O _ RDWR | O _ non block | O _ large file)= 3

aa.13640:open("/dev/tty "，O _ RDWR | O _ non block | O _ large file)= 3

aa.13657:open("/dev/tty "，O_RDWR) = 3

通过上面的方法，可以大致诊断出我们的sshd是否被放了后门。不过因为有各种各样的sshd后门，所以我上面说的sshd后门是比较优秀的一个，可以设置是否记录密码。如果设置为不记录密码，我们用strace是找不到他的，但是还有一些ssh后门需要使用特殊的配置文件读取特殊的密码文件，所以我们用strace是非常容易找到的。