<6>服務(wù)后門
幾乎所有網(wǎng)絡(luò)服務(wù)曾被入侵者作過后門. Finger, rsh, rexec, rlogin, ftp, 甚至 inetd等等的作了的版本隨處多是. 有的只是連接到某個(gè)TCP端口的shell,通過后門口 令就能獲取訪問.這些程序有時(shí)用刺媧□?Ucp這樣不用的服務(wù),或者被加入inetd.conf 作為一個(gè)新的服務(wù).管理員應(yīng)該非常注意那些服務(wù)正在運(yùn)行, 并用MD5對(duì)原服務(wù)程序做 校驗(yàn).
<7>Cronjob后門
Unix上的Cronjob可以按時(shí)間表調(diào)度特定程序的運(yùn)行. 入侵者可以加入后門shell程序 使它在1AM到2AM之間運(yùn)行,那么每晚有一個(gè)小時(shí)可以獲得訪問. 也可以查看cronjob中 經(jīng)常運(yùn)行的合法程序,同時(shí)置入后門.
<8>庫(kù)后門
幾乎所有的UNIX系統(tǒng)使用共享庫(kù). 共享庫(kù)用于相同函數(shù)的重用而減少代碼長(zhǎng)度. 一些 入侵者在象crypt.c和_crypt.c這些函數(shù)里作了后門. 象login.c這樣的程序調(diào)用了 crypt(),當(dāng)使用后門口令時(shí)產(chǎn)生一個(gè)shell. 因此, 即使管理員用MD5檢查login程序, 仍然能產(chǎn)生一個(gè)后門函數(shù).而且許多管理員并不會(huì)檢查庫(kù)是否被做了后門.對(duì)于許多入 侵者來說有一個(gè)問題: 一些管理員對(duì)所有東西多作了MD5校驗(yàn). 有一種 辦法是入侵者對(duì)open()和文件訪問函數(shù)做后門. 后門函數(shù)讀原文件但執(zhí)行trojan后門 程序. 所以 當(dāng)MD5讀這些文件時(shí),校驗(yàn)和一切正常. 但當(dāng)系統(tǒng)運(yùn)行時(shí)將執(zhí)行trojan版本 的. 即使trojan庫(kù)本身也可躲過 MD5校驗(yàn). 對(duì)于管理員來說有一種方法可以找到后門, 就是靜態(tài)編連MD5校驗(yàn)程序然后 運(yùn)行. 靜態(tài)連接程序不會(huì)使用trojan共享庫(kù).
<9>內(nèi)核后門
內(nèi)核是Unix工作的核心. 用于庫(kù)躲過MD5校驗(yàn)的方法同樣適用于內(nèi)核級(jí)別,甚至連靜態(tài) 連接多不能識(shí)別. 一個(gè)后門作的很好的內(nèi)核是最難被管理員查找的, 所幸的是內(nèi)核的 后門程序還不是隨手可得, 每人知道它事實(shí)上傳播有多廣.
<10>文件系統(tǒng)后門
入侵者需要在服務(wù)器上存儲(chǔ)他們的掠奪品或數(shù)據(jù),并不能被管理員發(fā)現(xiàn). 入侵者的文章 常是包括exploit腳本工具,后門集,sniffer日志,email的備分,原代碼,等等. 有時(shí)為 了防止管理員發(fā)現(xiàn)這么大的文件, 入侵者需要修補(bǔ)"ls","du","fsck"以隱匿特定的目 錄和文件.在很低的級(jí)別, 入侵者做這樣的漏洞: 以專有的格式在硬盤上割出一部分, 且表示為壞的扇區(qū). 因此入侵者只能用特別的工具訪問這些隱藏的文件. 對(duì)于普通的 管理員來說, 很難發(fā)現(xiàn)這些"壞扇區(qū)"里的文件系統(tǒng), 而它又確實(shí)存在.
<11>Boot塊后門
在PC世界里,許多病毒藏匿與根區(qū), 而殺病毒軟件就是檢查根區(qū)是否被改變. Unix下, 多數(shù)管理員沒有檢查根區(qū)的軟件, 所以一些入侵者將一些后門留在根區(qū).
<12>隱匿進(jìn)程后門
入侵者通常想隱匿他們運(yùn)行的程序. 這樣的程序一般是口令破解程序和監(jiān)聽程序 (sniffer).有許多辦法可以實(shí)現(xiàn),這里是較通用的: 編寫程序時(shí)修改自己的argv[] 使它看起來象其他進(jìn)程名. 可以將sniffer程序改名類似in.syslog再執(zhí)行. 因此 當(dāng)管理員用"ps"檢查運(yùn)行進(jìn)程時(shí), 出現(xiàn) 的是標(biāo)準(zhǔn)服務(wù)名. 可以修改庫(kù)函數(shù)致使 "ps"不能顯示所有進(jìn)程. 可以將一個(gè)后門或程序嵌入中斷驅(qū)動(dòng)程序使它不會(huì)在進(jìn)程表 顯現(xiàn). 使用這個(gè)技術(shù)的一個(gè)后門 例子是amod.tar.gz :
http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html
也可以修改內(nèi)核隱匿進(jìn)程.
<13>網(wǎng)絡(luò)通行后門
入侵者不僅想隱匿在系統(tǒng)里的痕跡, 而且也要隱匿他們的網(wǎng)絡(luò)通行. 這些網(wǎng)絡(luò)通行后 門有時(shí)允許入侵者通過防火墻進(jìn)行訪問. 有許多網(wǎng)絡(luò)后門程序允許入侵者建立某個(gè)端 口號(hào)并不用通過普通服務(wù)就能實(shí)現(xiàn)訪問. 因?yàn)檫@是通過非標(biāo)準(zhǔn)網(wǎng)絡(luò)端口的通行, 管理 員可能忽視入侵者的足跡. 這種后門通常使用TCP,UDP和ICMP, 但也可能是其他類型報(bào) 文.
<14>TCP Shell 后門
入侵者可能在防火墻沒有阻塞的高位TCP端口建立這些TCP Shell后門. 許多情況下,他 們用口令進(jìn)行保護(hù)以免管理員連接上后立即看到是shell訪問. 管理員可以用netstat 命令查看當(dāng)前的連接狀態(tài), 那些端口在偵聽, 目前連接的來龍去脈. 通常這些后門可 以讓入侵者躲過TCP Wrapper技術(shù). 這些后門可以放在SMTP端口, 許多防火墻允許 e-mail通行的.
<15>UDP Shell 后門
管理員經(jīng)常注意TCP連接并觀察其怪異情況, 而UDP Shell后門沒有這樣的連接, 所以 netstat不能顯示入侵者的訪問痕跡. 許多防火墻設(shè)置成允許類似DNS的UDP報(bào)文的通 行. 通常入侵者將UDP Shell放置在這個(gè)端口, 允許穿越防火墻.
<16>ICMP Shell 后門
Ping是通過發(fā)送和接受ICMP包檢測(cè)機(jī)器活動(dòng)狀態(tài)的通用辦法之一. 許多防火墻允許外 界ping它內(nèi)部的機(jī)器. 入侵者可以放數(shù)據(jù)入Ping的ICMP包, 在ping的機(jī)器間形成一個(gè) shell通道. 管理員也許會(huì)注意到Ping包暴風(fēng), 但除了他查看包內(nèi)數(shù)據(jù), 否者入侵者不 會(huì)暴露.
<17>加密連接
管理員可能建立一個(gè)sniffer試圖某個(gè)訪問的數(shù)據(jù), 但當(dāng)入侵者給網(wǎng)絡(luò)通行后門加密 后,就不可能被判定兩臺(tái)機(jī)器間的傳輸內(nèi)容了.
