SSH

[Максим Нестерчук]

Всем доброго времени суток!
Прошу помочь разобраться в вопросе.
Есть сервер на Linux, c помощью команды last pts/0 я узнаю кто был подключен к серверу.

Вопрос!
возможно ли подключится к тем, кто был подключен к серверу? (естественно при условии, что подключение было через паб ключ, без пароля)
ssh root@"ip_из_last pts/0" 'ls'
Если мое понимание самого процесса в корне не верное, прошу исправить и направить в нужное русло.

 

[pp11]

Нет, нельзя. Есть reverse shell через ssh, но там человек, который подключается должен по другому подключаться. (Подробности Reverse shell SSH)

 

[Максим Нестерчук]

Нет, нельзя. Есть reverse shell через ssh, но там человек, который подключается должен по другому подключаться. (Подробности Reverse shell SSH)

Ясно. Благодарю.
Если не затруднит, то еще такой вопрос, каким образом я могу подключится по SSH имея записи из known_hosts

 

[Pernat1y]

Вопрос!
возможно ли подключится к тем, кто был подключен к серверу? (естественно при условии, что подключение было через паб ключ, без пароля)
ssh root@"ip_из_last pts/0" 'ls'

Если у того, кто подключался:
А) Поднят SSHD
Б) Порт доступен по сети (белый айпишник, либо в той-же локалке плюс порт не блочится фаерволом)
В) У тебя есть ключи от его сервера
То можно

Если не затруднит, то еще такой вопрос, каким образом я могу подключится по SSH имея записи из known_hosts

Почитай, как ключи в SSH работают и для чего они нужны.
Из known_hosts можно только айпишник достать. Дальше подключаться как обычно.

 

[Максим Нестерчук]

Если у того, кто подключался:
А) Поднят SSHD
Б) Порт доступен по сети (белый айпишник, либо в той-же локалке плюс порт не блочится фаерволом)
В) У тебя есть ключи от его сервера
То можно


Почитай, как ключи в SSH работают и для чего они нужны.
Из known_hosts можно только айпишник достать. Дальше подключаться как обычно.

Да читал уже и не раз.

 

[Максим Нестерчук]

Я наткнулся на одну новость Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)
Где написано Sustes пытается распространиться на другие хосты из списка known_hosts по SSH; при этом ожидается, что подключение к ним происходит автоматически по публичному ключу. Процесс заражения повторяется вновь на доступных SSH-хостах.
Теперь пытаюсь понять, принцип действия.

 

[pp11]

Я наткнулся на одну новость Вредонос Sustes обновился и теперь распространяется через уязвимость в Exim (CVE-2019-10149)
Где написано Sustes пытается распространиться на другие хосты из списка known_hosts по SSH; при этом ожидается, что подключение к ним происходит автоматически по публичному ключу. Процесс заражения повторяется вновь на доступных SSH-хостах.
Теперь пытаюсь понять, принцип действия.

А что там понимать? Малварь парсит IP и ищет ключи, потом пробует подключиться.

 

[Максим Нестерчук]

А что там понимать? Малварь парсит IP и ищет ключи, потом пробует подключиться.

Может быть я все же, не все прочел про ключи или что то не так понимаю. Но зачем нужно искать паб ключ, который и так уже прописан в паб.кей. Все что нужно, это IP из known_hosts.
Если это не так, то прошу подскажи как происходит подключение имея IP и ключ?

 

[Максим Нестерчук]

Вопрос был решен.
Всем спасибо за разъяснения.

 

[Anonimist]

Вопрос был решен.
Всем спасибо за разъяснения.

Можешь описать как?

 

[Максим Нестерчук]

Можешь описать как?

Скажем так, в этом методе без везения никак.
Пишем условие и ищем 2 файла kwown_hosts и id_rsa.pub
если оба файла существуют, тогда записываем в файл ip_адреса из kwown_hosts (ip запишется только при условии, если в конфиге ssh закомментирована строка HashKnownHosts yes )
после чего, подключаемся ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no ip_из_kwown_hosts 'ls'
Если kwown_hosts хеширован, тогда через sed комментируем строку HashKnownHosts yes в файле ssh_config, после чего добавляем в кронтаб скрипт с нашим условием и ждем, пока человек снова подключится к ssh.