Linux后门PamDOORa：900美元买通你的SSH密钥

一个俄罗斯黑客论坛上的降价广告，正在把Linux服务器的最后一道防线变成筛子。PamDOORa后门从1600美元砍到900美元甩卖，不是因为没人要，而是因为卖的人急着脱手——而买的人，现在可能已经盯上了你的SSH登录。

这个后门最阴险的地方在于，它不躲在你能看到的进程列表里。它直接钻进Linux的PAM（可插拔认证模块）框架——就是那个每次你输密码、系统决定让不让你进的底层机制。Group-IB的研究人员发现，PamDOORa利用的是pam_exec模块，一个本来用来在认证时执行外部命令的标准组件。你的密码刚输进去，还没被系统记录，它就已经被抄走了。

更麻烦的是，这种滥用方式还没被写进MITRE ATT&CK框架。也就是说，大多数安全团队的防御清单里，根本没有这一行。卖这个工具的人在Rehub论坛叫"darkworm"，代码片段显示他对Linux内核相当熟悉——不是那种从GitHub抄来改改就卖的脚本小子。

PamDOORa的隐蔽性不止于偷密码。它会篡改lastlog、btmp、utmp、wtmp这些认证日志文件，把攻击者连进来的痕迹抹得干干净净。想象一下：应急响应团队接到通知，SSH进服务器查入侵，结果自己的凭证在登录瞬间就被后门截获。你以为是来救火，其实是来送柴。

这个后门属于"后渗透"工具，意味着攻击者得手前已经拿到了root权限。安装后，它会释放一个叫pam_linux.so的恶意模块，混在一堆正常的系统模块里加载，不替换任何文件，只是多出来一个"自己人"。远程控制靠一个特定TCP端口加上只有攻击者知道的"魔法密码"，扫描连接、匹配条件、放行入场——全程静默。

900美元的定价策略本身就说明问题。要么是市场测试发现买家不多，要么是作者想快速变现后抽身。无论哪种，都指向同一个结论：这类攻击的门槛正在急速降低。过去需要从零写内核模块的活儿，现在开箱即用，还附赠技术支持（论坛广告里承诺的）。

对运维团队来说，PAM层一直是监控盲区。大家看进程、看网络、看文件完整性，但很少有人去审计认证模块的加载链。PamDOORa吃准的就是这个缝隙。防御建议说起来简单：校验PAM配置文件的完整性，监控pam_exec的非预期调用，对lastlog等日志做只读保护或远程同步。但执行层面，有多少生产环境真的做到了？

Linux服务器的信任链，从登录框开始。当那个框本身被攻破，后面的一切防御都是马奇诺防线。