海蜘蛛软路由破解技术及后门删除
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
海蜘蛛软路由破解技术及后门删除
1. 我们必须要假设linux平台,因为海蜘蛛就是架设在linux平台下的,个人推荐Ubuntu9.04个人感觉不错,使用中跟windows差不多方便,而且3D效果是windows没有办法媲美的。好了废话不多说了干活。
2.我现用海蜘蛛ISP6.10和Ubuntu9.04来做示范,现在就把安装海蜘蛛挂载在ubuntu下,到海蜘蛛所在的目录取出hsrouter_v6.0.5.bin,
注意:以下黑字部分为命令在终端打开
好,我们来对hsrouter_v6.0.5.bin进行解密,命令:
cat hsrouter_v6.0.5.bin | openssl des-cbc -k ‘letusd01twell’ -d >hsrouter_v6.0.5.tgz
在来我们解压缩解密的文件包命令:
(1)mkdir tgz (2) cd tgz/ (3) tar zxvf ../hsrouter_v6.0.5.tgz
-----------------(修改后门部分)---------------chroot到解压开的系统命令:chroot . /bin/bash
修改muddyboot用户的密码也是我们所认为的后门步?:
命令:passwd muddyboot
Changing password for muddyboot
Enter the new password (minimum of 5, maximum of 8 characters)
Please use a combination of upper and lower case letters and numbers.
Enter new password: (请输入新密码)
Re-enter new password:(在次输入一次新密码)
Password changed.
查看和修改md5检测
root@livecd /\> md5sum etc/shashadow shadow-
root@livecd /\> md5sum etc/shadow*
435229c22f1008712ec3ec88f6a5a908 etc/shadow
3e0dabfa647a76b0beb57f20f258499f etc/shadow-
root@livecd /\> cat etc/md5check.lst |grep shado
/etc/shadow 3e0dabfa647a76b0beb57f20f258499f
root@livecd /\>cd etc/
root@livecd /etc\>cp shadow shadow-
root@livecd /etc\>vi md5check.lst
/etc/inittab bc0903e79fce15af666d8195a5f27604 (以下这些要要修改的MD5)
/etc/passwd 5c5ab6467a5c5f18891cf7ed2c1a826f
/etc/shadow 3e0dabfa647a76b0beb57f20f258499f
/etc/rc.d/init.d/rc fedfd528ba569aa8f066411f1b4754d0
/etc/rc.d/init.d/functions 046e38027c18f68a2b8ba9984a6ad765
/etc/rc.d/init.d/mountkernfs 0663e46efadd2d704607eb400e8e4ebc
/sbin/shutdown 9d7e0ebd87189e2685430826ad715aa4
修改为
/etc/inittab bc0903e79fce15af666d8195a5f27604
/etc/passwd 5c5ab6467a5c5f18891cf7ed2c1a826f
/etc/shadow 435229c22f1008712ec3ec88f6a5a908
/etc/rc.d/init.d/rc fedfd528ba569aa8f066411f1b4754d0
/etc/rc.d/init.d/functions 046e38027c18f68a2b8ba9984a6ad765
/etc/rc.d/init.d/mountkernfs 0663e46efadd2d704607eb400e8e4ebc
/sbin/shutdown 9d7e0ebd87189e2685430826ad715aa4
保存退出
------------------(从新封包加密)--------------解包容易封包还要一定步?
tar cf ../imgtmp_isp.tar . (把我们刚才解压在TGZ文件夹里从新打包)
gzip imgtmp_isp.tar (用GZIP工具打包成TAR格式)
mkdir cache (新建文件夹cache)
mv imgtmp_isp.tar.gz cache/ (把imgtmp_isp.tar.gz转移到cache文件夹里)
cd cache/ (打开文件夹的命令:CD 文件夹命\)
ls (查看里面的文件)
imgtmp_isp.tar.gz (里面的文件)
mv imgtmp_isp.tar.gz hsrouter_v6.0.5.tgz (命令打包成tgz格式)
ls (查看)
hsrouter_v6.0.5.tgz (里面文件有)
加密命令:
cat hsrouter_v6.0.5.tgz | openssl des-cbc -k …letusd01twell‟ -e >hsrouter_v6.0.5.bin
ls (查看)
hsrouter_v6.0.5.bin hsrouter_v6.0.5.tgz
基本封包加密完成
#####################################################################
海蜘蛛ISP版本的后门==初步解决办法
etc 目录
fake_support_server 文件中的IP 指向海蜘蛛官方下载页面,需把IP 去掉,或修改成别的地址
shadow 文件中去掉muddyboot:wx4WPMrmiOMFA:13632:0:99999:7:::
md5check.lst 修改shadow后,shadow文件的MD5校验值就变了,修改/etc/shadow 3e0dabfa647a76b0beb57f20f258499f到正确的值
oem 版本文件,比如其中的VERSION=”6.1.0″修改为VERSION=”6.1.5″ ,不用我多说了吧,还有其他内容自己改吧
(你可以改成任意版本啦!!!)
passwd 去掉muddyboot:x:10:10::/home:/bin/bash 这行
注意修改md5check.lst 文件中 /etc/passwd 5c5ab6467a5c5f18891cf7ed2c1a826f 改为正确的值
获得MD5值的方法(linux环境),md5sum -b filenames产生md5
md5sum -c md5file用来检验
md5 shadow 回车,就得到 shadow 的md5 值了,md5 passwd 回车,就得到 passwd 的md5 值了