PAM BACKDOOR · LINUX SECURITY
商品化 PAM 后门完全解析 · 攻击链 · 检测与防御
$900 在暗网买到的工具,可以让攻击者在不改密码、不换密钥的情况下永久维持 Linux 服务器的 root 访问权——即使你重装了 sshd,即使你重置了账户,它依然在那里。PamDOORa 的核心:把整个认证栈变成武器。
PamDOORa 于 2026 年 3 月 17 日出现在俄语网络犯罪论坛 Rehub,由威胁行为者 darkworm 以 $1,600 出售完整源码,4 月 9 日降价至 $900。发现方 Flare.io 将其定性为继 Plague(2025 年 8 月)之后,第二款在 PAM 层发起攻击的商品化 Linux 后门。
当前无野外利用证据,但商品化意味着技术门槛已大幅降低。
PAM(Pluggable Authentication Modules)是 Linux 系统所有认证请求的统一入口——SSH 登录、su、sudo 都经过它。PamDOORa 的攻击分四步:
恶意 PAM 模块的 pam_sm_authenticate() 函数在正常验证之前先比对"魔法密码"。如果匹配,立即返回 PAM_SUCCESS,绕过所有后续验证模块:
pam_sm_authenticate()
PAM_SUCCESS
关键点:重置 root 密码 → 无效 | 轮换 SSH 密钥 → 无效 | 重装 sshd → 无效 | 服务器重启 → 无效。PAM 配置持久化,后门永远在那里。
PamDOORa 主动清除四类认证日志中的攻击者痕迹。执行 last、who、w 均无异常。更危险的是:IR 团队连进来调查时,其凭据同样被捕获。
last
who
w
⚠️ 本地日志不可信。唯一可靠的取证路径是事前推送到远端 SYSLOG 或 SIEM 的日志记录。
与 Plague 对比:PamDOORa 增加了 XOR 加密存储、四类日志全面篡改、C2 外传支持——功能更完整,对抗取证能力更强。
PAM 认证栈:恶意模块在正常验证之前拦截凭据
以下内容用于了解攻击技术以改善防御,均对应 MITRE ATT&CK 公开技术项。
PAM 栈滥用有两种路径:A)pam_exec 注入(无需重编译,配置文件一行即可);B)替换 pam_unix.so(更隐蔽,需编写恶意 .so 并替换系统文件)。
pam_exec 注入(最简方式) — 在 /etc/pam.d/sshd 中增加一行,无需修改 .so 文件:
对于防御侧:这一行注入在 /etc/pam.d/sshd 中肉眼极难察觉——它看起来完全合法,只是多了一个 exec 调用。文件完整性监控(FIM)是唯一可靠的检测手段。
PAM 攻击面的检测需要多层次策略。传统进程/网络监控无效,核心是文件完整性监控和认证日志集中收集。
快速检查脚本(3 条命令):
加固:chattr +i /etc/pam.d/sshd 设置不可变属性,配合 SELinux/AppArmor 限制模块加载,可有效阻止大多数自动化植入。
chattr +i /etc/pam.d/sshd
SOC 监控:PAM 目录变更告警与认证日志异常检测
PAM 层攻击的本质威胁:它不是从外部入侵,而是住在系统的神经中枢里。
传统的"重置密码、更换密钥、重装服务"无法根除它。防御的核心转向:配置完整性监控 + 行为基线分析 + 日志集中化,才能在被感染后仍然有据可查。
数据来源:Flare.io · The Hacker News · Rescana · Elastic Security · Nextron Systems