一种名为 PamDOORa 的新型 Linux 后门已被检测到,它对暴露 SSH 的系统构成了真实威胁。该恶意软件通过核心认证系统 PAM 模块运作,在用户登录时拦截密码。捕获的凭据会发送给攻击者控制的 C&C 服务器。
PamDOORa 如何融入认证过程 🛡️
PamDOORa 注入到 PAM 模块链中,特别是 SSH 的认证堆栈。作为合法模块加载时,它在登录验证期间捕获明文形式的用户名和密码。数据存储在一个临时文件中,并通过 HTTP 请求外传到远程域名。其持久性通过修改 PAM 配置文件(如 common-auth)实现,在常规审计中不会立即引起怀疑。
潜入密码派对的木马 🎭
PamDOORa 表明,即使是 Linux——这个以安全自诩的操作系统——也可能在认证晚宴上迎来不速之客。当用户以为自己的 SSH 固若金汤时,这个后门却像一名服务员,将密码记在餐巾纸上交给酒吧老板。不过,至少攻击者还算客气,使用了系统官方的后门 PAM,而没有弄脏内核源代码。