Linux - Hur gömma sig på server?

Hallå där!

Jo, jag undrar hur man bäst gömmer sig på en Linux server när man har rensat loggar, täppt till säkerhetshål, och har fått root.

Man kan ju skapa en ny användare med samma rättigheter som root, men det kontot kommer ju hittas rätt snabbt.

Finns det några andra alternativ?

Tackar.

Nä, användaren måste vara registrerad någonstans, typ i /etc/passwd

Men du kan ge shell-access till en redan reggad user. Jag lade en gång till postgres i soduers, det varade jävligt länge. Man kan även lägga till en sak i bashrc/bash_logout som lägger till en user när någon loggar in, sedan tas den bort efter utloggning, men det måste finnas någon mekanism som gör denna in/ut-loggning. Jag använde databaser till detta. Sök här på Flashback hur VFH gjorde.

Som .Chloe säger måste användaren finnas i /etc/passwd för att inloggning ska vara möjlig.
Du kan ju lägga till en till synes oskuldfri rad i .bashrc eller .bash_logout, och på så sett länka till något fint program eller skript du gömmer undan någonstans. Ingen fan kollar i t.ex. C-biblioteken. Det skulle vara ett perfekt ställe att gömma undan egna program.

Flyttad

IT-säkerhet: allmänt --> Programvara - Övriga operativsystem
/Moderator

Intressant. Tror du det här kommer det här funka?

Ja.

Men denna metod känns lite osäker, detta hade jag gjort om året hade varit 2009. Eftersom du är root så har du tillgång till gcc vilket är guld! Du kan installera de mest stealth bakdörrarna som finns. De finns inte med i ps aux, top och netstat. Jag hade en backdoor till unix innan som använde port knocking och shellkod som metod för att skicka kommando. Det fungerade typ så här: skickar X antal UDP-paket till en viss port, sedan ett kommando. Det som är bra med just detta är att då loggas inga kommandos, utan det är en process som körs hela tiden.

Om servern har syslog så är du redan körd.