



























Linux 出現 PamDOORa 惡意木馬
新型後門 利用 PAM 竊取 SSH 憑證
【注意 ⚠️】繼早前發現「Copy Fail」與「Dirty Frag」極嚴重漏洞後,近日再發現 Linux 存在另一個嚴重風險:有黑客正在兜售名為「PamDOORa」的惡意後門木馬。該木馬利用 Linux 系統中的「可插拔認證模組」(PAM)架構,能讓攻擊者在毋須合法憑證的情況下,長期潛伏於伺服器,並大規模竊取 SSH 登入資訊。
據《The Hacker News》報道,「PamDOORa」的核心技術在於操縱 Linux 內部的 PAM(Pluggable Authentication Modules)框架。PAM 是 Unix/Linux 作業系統中用於集中管理各類身份驗證(如密碼、生物識別等)的底層系統。由於 PAM 模組通常以 Root 最高權限執行,一旦被惡意篡改,後果將不堪設想。
研究指出,PamDOORa 工具可透過特定的「萬能密碼」(Magic Password)與 TCP 連接埠組合,繞過正常驗證流程,持續獲得 SSH 遠端存取權限。當合法用戶登入系統時,PamDOORa 會在驗證過程中攔截並儲存帳戶與密碼。由於 PAM 驗證過程涉及明文處理,這令敏感資訊完全暴露。
該後門更整合了日誌篡改技術,能系統性地刪除與惡意活動相關的身份驗證紀錄,大幅增加網絡安全人員追蹤入侵來源的難度。
調查顯示,這款惡意木馬最初於 2026 年 3 月以 1,600 美元(約 1.25 萬港元)的價格掛售,但 4 月時已降價至 900 美元(約 7,000 港元)。研究人員推測,這可能反映出買家對該木馬的興趣不如預期。
專家警告其威脅絕不容小覷。相比過去常見的開源概念驗證(PoC)腳本,PamDOORa 展現了更高的整合性與成熟度。它不僅具備反偵錯(Anti-debugging)機制,更像是一套經過精心設計的「電訊級」或「專業化」入侵套件。
針對此類鎖定 PAM 的攻擊,網絡安全專家建議 Linux 系統管理員應定期檢查系統關鍵路徑(如 /lib/security/ 或 /lib64/security/)下的 PAM 模組檔案完整性,並透過入侵檢測系統監控異常的 SSH 登入行為。
隨著 Linux 市佔率持續攀升,此類針對底層權限架構的後門工具,預計將成為黑客組織未來攻擊的主流手段。
資料來源:
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。