网络后门面面观
网络后门面面观
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的:即使管理员改变密码,仍然能再次侵入,并且使再次侵入被发现的可能性减至最低。
大多数后门是设法躲过日志,即使入侵者正在使用系统也无法显示他己在线。有时如果入侵者认为管理员可能会检测到已经安装的后门,他们使会以系统的脆弱性作为唯一后后门,反复攻破机器。
我们讨论后门的时候都是假设入侵的黑客已经成功地入侵系统
1、Rhosts++后门
在连网的Unix机器中,像Rsh和Rlogin这样的服务是基于rhosts的,使用简单的认证方法,用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入"++",就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时,入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh,团为它通常缺少日志能力。许多管理员经常检查“++”.所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名,从而不易被发现。
2、校验及时间戳后门
早期,许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变,如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步,就可以把系统时间设回当前时间。sum程序基于crc校验,很容易被骗过。
3.Login 后门
unix里,Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,使用”strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令,使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。
5、服务后门
儿乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell,通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。
6.Cronjob 后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序,使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序,同时置入后门。
7. 库后门
几乎所有的Unix系统都使用共享库.一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt(),当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序,仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时,校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序,然后运行。静态连接程序不会使用特洛伊木马共享库。
8.内核后门
内核是Unix工作的核心。使库躲过MD5校验的方法同样适用于内核级别,甚至静态连接都不能识别。―个后门作的很好的内核是最难被管理员查找的,所幸的是内核的后门程序还不是随手可得。
9.文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不被管理员发现。入侵者的文章常是包括exploit脚本工具、后门集、sniffer日志、email的备份、源代码等等。有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件。在很低的级别,入侵者做这样的漏洞:以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说,很难发现这些“坏扇区“里的文件系统,而它又确实存在。
10.Boot块后门
在Pc世界里,许多病毒藏匿在根区,而杀病毒软件就是检查根区是否被改变unix下多数管理员没有检查根区的软件,所以―些入侵者将一些后门留在根区。
11.隐匿进程后门
入侵者通常想隐匿他们运行的程序。这样的程序一般是口令破解程序和监听程序(sniffer)。有许多办法可以实现他们的目的,较通用的有:编写程序时修改自己的argv使它看起来像其它进程名。可以将sniffer程序改名再执行。因此当管理员用”ps”检查运行进程时,出现的是标准服务名。可以修改库函数致使"ps"不能显示所有进程。可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。
12.网络通行后门
入侵者不仅想隐匿在系统里的痕迹,而且也要隐匿他们的网络通行后门。这些网络通行后门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号,并且不通过普通服务就能实现访问。因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。这种后门通常使用ICP,UDP和ICMP,但也可能是其它类型报文。
13.TCP Shell后门
肭终呖赡茉诜阑鹎矫挥凶枞母呶籘CP端口建立这些TCPShell后门。许多情况下他们用口令进行保护以免管理员连接后即看到是shell访问。管理员可以用netstat命令查看当前的连接状态、那些端口在侦听和目前连接的来龙去脉。TcpShell后门可以让入侵者躲过TCP Wrapper技术。
14.UDP Shell后门
管理员经常注意TCP连接并观察其怪异情况,而UDPShell后门没有这样的连接,所以nebstat不能显示入侵者的访问痕迹。许多防火墙设置成允许类似DNS的UDP报文的通行。通常入侵者将UDPshell放置在这个端口.允许穿越防火墙。
15.ICMF Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之―。许多防火墙允许外界Ping它内部的机器.入侵者可以将数据放入Ping的ICMP包,在Ping的机器间形成一个shell通道。管理员也许会注意到Ping包,但除非他查看包内数据, 否则入侵者不会暴露。
16.加密连接
管理员可能建立一个sniffer,但当入侵者给网络通行后门加密后,就不可能判定两台机器间的传输内容了。
17.Windows NT
对入侵者来说很难闯入wlndows NT安装后门,并从那里发起攻击。但当Windows NT提供多用户技术后,入侵者就会将许多Unix的后门技术将移植到widows NT上。
发布人:netbull 来自:绿色兵团