暗網1600美元叫賣的后門，專偷Linux服務器SSH密碼

俄羅斯黑客論壇Rehub上，一個叫"darkworm"的賣家正在兜售一款名為PamDOORa的Linux后門工具。開價1600美元，不到一個月就腰斬到900美元——是沒人買，還是急著脫手？

Flare.io的安全研究員Assaf Morag在最新技術報告中披露了這款工具的運作機制。PamDOORa的核心設計很直接：它把自己偽裝成PAM模塊，埋伏在Linux系統的認證流程里。

PAM（可插拔認證模塊）是Unix/Linux系統的標準安全框架。系統管理員靠它靈活配置登錄方式——密碼、指紋、硬件密鑰都能切換，不用重寫應用程序。但這也成了攻擊者的突破口：PAM模塊通常以root權限運行，一旦被篡改，整個系統的認證環節就暴露了。

PamDOORa的玩法分兩步。第一步，它通過"魔法密碼+特定TCP端口"的組合，給攻擊者留一條隱蔽的SSH后門。第二步，它竊取所有正常用戶的登錄憑證——誰用這臺服務器，密碼就歸誰。

這并非孤例。Group-IB去年9月就警告過PAM模塊的風險："PAM本身不存儲密碼，但會以明文傳輸認證值。"pam_exec模塊尤其危險——它允許執行外部命令，攻擊者只要把惡意腳本注入PAM配置文件，就能拿到特權shell。

新加坡這家安全廠商當時演示了完整攻擊鏈：篡改SSH認證的PAM配置，通過pam_exec執行腳本，最終獲得隱蔽的持久化訪問權限。

PamDOORa在此基礎上更進一步——它自帶反取證功能，會系統性地篡改認證日志，抹除入侵痕跡。

目前尚無證據表明該后門已用于真實攻擊。但Flare.io推測，典型的感染路徑大概是：攻擊者先通過其他手段拿到目標主機的root權限，再部署PamDOORa模塊，完成憑證竊取和持久化SSH訪問的部署。

定價策略的變化值得玩味。3月17日掛出1600美元，4月9日降到900美元，降幅接近50%。是產品口碑撲街，還是賣家現金流緊張？暗網交易沒有用戶評價，只能靠價格信號猜測。

這是繼Plague之后，第二個公開針對PAM技術棧的Linux后門。當系統靈活性的設計優勢被逆向利用，安全團隊需要重新審視：那些為了"方便管理"而開放的模塊接口，是否已經成了最安靜的竊聽通道？