تقريباً Invisible SSH Connection

السلام عليكم ورحمة الله وبركاته

في آخر مواضيعي ذكرت بإنه من الآن فصاعداً ستكون أغلب إن لم تكن جميع مواضيعي هي حول الـ Penetration Testing والجدران النارية والتلاعب ببعض البروتوكولات ومن هذه الأمور التي مجال الأمنية وبصراحة تخص مجال بحثي وعملي حالياً … ولهذا اليوم أحببت أن يكون من أوائل هذه المواضيع حول كيفية الدخول الى السيرفر وبشكل متخفي حتى على المستخدم root على الخادم::18

ملاحظة: سيكون المستخدم مخفي عن root في اغلب الأدوات الإعتيادية مثل top و w وغيرها من الأدوات البسيطة … لكن لو الأدمن شاطر ؟ ربما من خلال بعض الـ Diagnostic يستطيع أن يكشف تواجدك !!!

الآن لكي نقوم بالدخول الى الخادم ومن دون أن يعلم بتواجدنا أحد ؟ سأشرح طريقتين …
الأولى: قم بالدخول الى الخادم بواسطة ssh من خلال هو تنفيذ الأمر التالي:

ssh -T [email protected] /bin/bash -i

ضع بدل من IPAddress الأي بي أو الدومين الذي تشبك عليه، مثلاً:

ssh -T [email protected] /bin/bash -i

الثانية: قم بالدخول الى الخادم بواسطة ssh من خلال تنفيذ الأمر التالي:

ssh -o UserKnownHostsFile=/dev/null -T [email protected] /bin/bash -i

الآن وبغض النظر كيف قمت بالدخول، ستظهر لك رسالة أخطاء مثل هذه:

bash: PROMPT_COMMAND: line 0: syntax error near unexpected token `;'
bash: PROMPT_COMMAND: line 0: `;history -a'

لا يوجد مشكلة قم بتنفيذ التالي:

export PROMPT_COMMAND='{ date "+: %c;  ${USER} ${USERIP}    `history 1 | { read x cmd; echo "$cmd"; }`"; } >> /var/log/.cmdlog'

وبعدها التالي:

export PROMPT_COMMAND='{ date "+: %c;  ${USER} ${USERIP}    `history 1 | { read x cmd; echo "$cmd"; }`"; } >> /dev/null'

وبعدها نفذ:

export TERM=xterm

الآن كل المشاكل رحلت تقريباً، وبإستطاعتك العمل على الخادم وتسرح وتمرح فيه وبدون ما حد يشوفك ::20

للتأكد؟ قم بالدخول من خلال مستخدم آخر أو نفس المستخدم أو root ونفذ:

top

أو

w

ولاحظ بنفسك بإنك فعلياً متصل على الخادم ولكن لا أحد يراك من خلال مثل هذه الأدوات::18

ملاحظة مهمة: أبريء نفسي من أي إستخدام خاطيء ولم يتم نشر هذه الطريقة إلا لنشر العلم والفائدة العامة وبس …

لمن يود أن يعرف ماذا قمنا؟ وما هي الخيارات المستعملة؟ وبعض المراجع؟

man ssh

مجلة Phrack العدد 64

دمتم بود …