部分已知后门:
etc 目录
fake_support_server 文件中的IP 指向海蜘蛛官方下载页面,需把 IP 去掉,或修改成别的地址
shadow 文件中去掉 muddyboot:wx4WPMrmiOMFA:13632:0:99999:7:::
md5check.lst 修改shadow后,shadow文件的MD5校验值就变了,修改 /etc/shadow 3e0dabfa647a76b0beb57f20f258499f 到正确的值
oem 版本文件,比如其中的 VERSION="6.1.0" 修改为 VERSION="6.1.5" ,不用我多说了吧,还有其他内容自己改吧
(你可以改成任意版本啦 !!!)
20090401 补充
passwd 去掉 muddyboot:x:10:10::/home:/bin/bash 这行
注意修改 md5check.lst 文件中 /etc/passwd 5c5ab6467a5c5f18891cf7ed2c1a826f 改为正确的值
获得MD5值的方法(linux环境), md5sum shadow 回车,就得到 shadow 的md5 值了,md5sum passwd 回车,就得到 passwd 的md5 值了
20090401 二次补充,含有“muddyboot”明文的文件,如下图,大家研究下:
1. cat hsrouter_isp_v6.1.0.bin | openssl des-cbc -k 'letusd01twell' -d > test.tar.gz (解包为TGZ文件)
2. tar -zxvf test.tar.gz (解压TGZ文件)
3. chroot XXX(改变根目录 XXX 是上一步解压文件所在的路径)
4. passwd muddyboot (修改密码)
5. 修改etc下shadow-,shadow,group,gshadow,passwd,sudoers,sudoers.demo七个文件中的muddyboot为自己的用户名
6. 去掉fake_support_server文件中的IP地址
7.
/etc/f2154_notify/error.html
/etc/f2154_notify/index.htm
/etc/f2154_notify/index.htm.tmpl
/html/footer.html
/hibar/error.html
/hibar/index.html
去掉以上文件中的
"http://count19.51yes.com/click.aspx?id=190260978&logo=6"
8. md5sum (获取文件的md5值)
修改/etc/md5check.lst文件中相应的MD5值
9. tar -c -zcvf test.tar.gz * (压缩文件)
10. cat test.tar.gz | openssl des-cbc -k 'letusd01twell' >hsrouter_isp_v6.1.0.bin (打包成BIN文件)
hzz的ssh配置文件是:etc/dropbear/sshd_config。
打开后看看:(如图)
/etc/init.d/sshd文件要检查上面的三个配置选项
就三个配置选项:
1、port=2345(ssh使用的端口,现在是:2345)
2、PermitRootLogin=no(是否允許root使用ssh登陆,no=不允许)
3、PasswordAuthentication=yes(是否需要密碼验证,yes=是)
