Chinaunix

标题: 被黑了！发现SSH返回信息是伪装的，怎么破？ [打印本页]

作者: nugget 时间: 2014-02-14 00:23
标题: 被黑了！发现SSH返回信息是伪装的，怎么破？
服务器有个弱密码被黑了，找回密码后。发现个有趣的问题，不知道怎么实现的。
伪装SSH登陆返回信息

root@LS-*****-*Y:~# ssh 192.168.1.18
Password:
Password:
Password:
解释：以上3行“Password:”就是假的，输入正确密码也一样循环返回这个报错，迷惑人以为自己输入错误。
root@192.168.1.18's password:
解释：从第4行开始恢复正常的ssh返回值，输入密码秒登陆。

这个是修改什么文件实现的，请高手指点。吃一堑长一智，学习一下。

作者: marsaber 时间: 2014-02-14 17:47
本帖最后由 marsaber 于 2014-02-14 17:48 编辑

man sshd_config
找Banner段。
支持：Banner /some/path

比如，我的是Banner /root/hello.sh
/root/hello.sh的内容只有一行：echo "Hello,world."
那么登录时的现象见截图。

2014-02-14_174839.jpg (5.79 KB, 下载次数: 97)

作者: spouter 时间: 2014-02-15 08:46
不是banner，原来是注释状态。我放开后这里只能打印文字不能交互操作。
被黑后Password：是要输入才能通过的

作者: EeeLo 时间: 2014-02-17 08:56
这个有点儿意思...

作者: kisswen 时间: 2014-02-17 17:22
也许你修改后的密码已经被发出去了……

作者: marsaber 时间: 2014-02-18 08:46
本帖最后由 marsaber 于 2014-02-18 08:51 编辑

回复 3# spouter

如果Banner后面跟着的是一个程序呢？
也不可以吗？
如果不可以，俺就继续坐等最终答案。

作者: 剑魂箫心 时间: 2014-02-23 15:39
有没有可能是PS1和PS2这两个变量被更改的原因。而实际上你早就登陆了。

作者: nugget 时间: 2014-02-26 09:00
sshd这个主服务被替换了

作者: xiaobaixy 时间: 2014-02-27 10:06
挺有意思的,坐等拜神...

作者: xiaobaixy 时间: 2014-02-27 10:06
本帖最后由 xiaobaixy 于 2014-02-27 10:09 编辑

挺有意思的,坐等拜神...

想起来了,登陆SSH后是可以直接进入程序的...忘了怎么实现了

作者: 375710170 时间: 2014-02-27 11:13
提示: 作者被禁止或删除内容自动屏蔽

作者: securitypluscn 时间: 2014-03-01 00:30
本帖最后由 securitypluscn 于 2014-03-01 00:49 编辑

nugget 发表于 2014-02-26 09:00
sshd这个主服务被替换了

我猜是这样的，不知对不对：
SSHD被换成了黑客自己的“SSHD”程序。黑客的SSHD包含两个功能-盗取密码和正常的SSHD服务。出于某种原因盗取密码和正常的SSH登录不能同步完成。这就是为什么在正常登录之前要额外输入3次密码

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)