一种名为 PamDOORa 的新型 Linux 后门已被检测到,它对暴露 SSH 的系统构成了真实威胁。该恶意软件通过 PAM 模块(核心认证系统)运作,在用户登录时拦截密码。捕获的凭据会发送至攻击者控制的 C&C 服务器。
PamDOORa 如何融入认证过程 🛡️
PamDOORa 注入到 PAM 模块链中,具体位于 SSH 认证堆栈内。作为合法模块加载时,它在输入验证期间以明文形式捕获用户名和密码。数据存储在临时文件中,并通过 HTTP 请求外泄至远程域名。其持久性通过修改 PAM 配置文件(如 common-auth)实现,在常规审计中不会立即引起怀疑。
潜入密码派对的木马 🎭
PamDOORa 证明,即便是以安全性著称的 Linux 操作系统,也可能在认证盛宴中迎来不速之客。当用户以为自己的 SSH 固若金汤时,这个后门却像一名服务员,将密码记在餐巾纸上交给酒吧老板。不过,至少攻击者还算礼貌地使用了 PAM——系统官方的后门,而没有弄脏内核源代码。