分享
 
 
 

网络后门面面观

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的:即使管理员改变密码,仍然能再次侵入,并且使再次侵入被发现的可能性减至最低。

大多数后门是设法躲过日志,即使入侵者正在使用系统也无法显示他己在线。有时如果入侵者认为管理员可能会检测到已经安装的后门,他们使会以系统的脆弱性作为唯一后后门,反复攻破机器。

我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。

1、Rhosts++后门

在连网的Unix机器中,像Rsh和Rlogin这样的服务是基于rhosts的,使用简单的认证方法,用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入++,就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时,入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh,团为它通常缺少日志能力。许多管理员经常检查“++”.所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名,从而不易被发现。

2、校验及时间戳后门

早期,许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变,如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步,就可以把系统时间设回当前时间。sum程序基于crc校验,很容易被骗过。

3.Login 后门

unix里,Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,使用”strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令,使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。

5、服务后门

儿乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell,通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。

6.Cronjob 后门

Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序,使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序,同时置入后门。

7. 库后门

几乎所有的Unix系统都使用共享库.一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt(),当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序,仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时,校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序,然后运行。静态连接程序不会使用特洛伊木马共享库。

8.内核后门

内核是Unix工作的核心。使库躲过MD5校验的方法同样适用于内核级别,甚至静态连接都不能识别。―个后门作的很好的内核是最难被管理员查找的,所幸的是内核的后门程序还不是随手可得。

11.隐匿进程后门

入侵者通常想隐匿他们运行的程序。这样的程序一般是口令破解程序和监听程序(sniffer)。有许多办法可以实现他们的目的,较通用的有:编写程序时修改自己的argv使它看起来像其它进程名。可以将sniffer程序改名再执行。因此当管理员用”ps”检查运行进程时,出现的是标准服务名。可以修改库函数致使ps不能显示所有进程。可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。

12.网络通行后门

入侵者不仅想隐匿在系统里的痕迹,而且也要隐匿他们的网络通行后门。这些网络通行后门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号,并且不通过普通服务就能实现访问。因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。这种后门通常使用ICP,UDP和ICMP,但也可能是其它类型报文。

13.TCP Shell后门

入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCPShell后门。许多情况下他们用口令进行保护以免管理员连接后即看到是shell访问。管理员可以用netstat命令查看当前的连接状态、那些端口在侦听和目前连接的来龙去脉。TcpShell后门可以让入侵者躲过TCP Wrapper技术。

14.UDP Shell后门

管理员经常注意TCP连接并观察其怪异情况,而UDPShell后门没有这样的连接,所以nebstat不能显示入侵者的访问痕迹。许多防火墙设置成允许类似DNS的UDP报文的通行。通常入侵者将UDPshell放置在这个端口.允许穿越防火墙。

15.ICMF Shell 后门

Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之―。许多防火墙允许外界Ping它内部的机器.入侵者可以将数据放入Ping的ICMP包,在Ping的机器间形成一个shell通道。管理员也许会注意到Ping包,但除非他查看包内数据, 否则入侵者不会暴露。

16.加密连接

管理员可能建立一个sniffer,但当入侵者给网络通行后门加密后,就不可能判定两台机器间的传输内容了。

17.Windows NT

对入侵者来说很难闯入wlndows NT安装后门,并从那里发起攻击。但当Windows

NT提供多用户技术后,入侵者就会将许多Unix的后门技术将移植到widows NT上。

入侵者需要在服务器上存储他们的掠夺品或数据,并不被管理员发现。入侵者的文章常是包括exploit脚本工具、后门集、sniffer日志、email的备份、源代码等等。有时为了防止管理员发现这么大的文件,入侵者需要修补ls,du,fsck以隐匿特定的目录和文件。在很低的级别,入侵者做这样的漏洞:以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说,很难发现这些“坏扇区“里的文件系统,而它又确实存在。18.Boot块后门在Pc世界里,许多病毒藏匿在根区,而杀病毒软件就是检查根区是否被改变unix下多数管理员没有检查根区的软件,所以―些入侵者将一些后门留在根区。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有