主頁 > 知識庫 > 網(wǎng)絡(luò)后門面面觀

網(wǎng)絡(luò)后門面面觀

你是否受到黑客攻擊而憤憤不平？每當防火墻警報響起時，你是選擇沉默還是給予適當?shù)木?？該出手時就出手，借用一些技巧給對方一個善意的“下馬威”吧！

　　信使服務(wù)

　　防火墻檢測到系統(tǒng)受到攻擊時，一般會報警或記錄下相應(yīng)的數(shù)據(jù)。比如常用的天網(wǎng)防火墻，當它檢測到系統(tǒng)遭受攻擊時，系統(tǒng)托盤處的天網(wǎng)圖標就會出現(xiàn)一個閃爍的警報信號，雙擊該圖標，從彈出的窗口中，你可以得到攻擊者的來源、試圖從端口進行“突破”等信息（如圖1）。
　　

圖1

　　知道了攻擊者的IP地址后，我們可以嘗試使用信使服務(wù)給對方一個消息，可以是好言相勸哦！Windows 2000/XP默認情況下是將信使服務(wù)開著的，可以收到別人發(fā)送的消息。假設(shè)我們要給攻擊者發(fā)送信使消息，可以打開“命令提示符”窗口，鍵入“net send 218.51.***.*** 警告消息”。如果要輸入的文字消息比較多，在Windows 2000中還有另外一種法，打開[控制面板]→[管理工具]→[組件服務(wù)]，用鼠標右鍵單擊“本地計算機上的服務(wù)”，選擇彈出菜單中的[所有任務(wù)]→[發(fā)送控制臺消息]，輸入消息內(nèi)容后，點擊[添加]按鈕，輸入接收方的IP地址，最后點擊[發(fā)送]按鈕即可。
　
　　注意：如果對方?jīng)]有開啟信使服務(wù)，或者使用了不支持信使服務(wù)的系統(tǒng)（比如Windows 98），那么發(fā)送信息時你會收到出錯的提示。

　　情報發(fā)往何處？

　　對于喜歡軟件嘗鮮的朋友，上了寬帶后一定樂此不疲地下載試用各種軟件，然而有些軟件就像“披著羊皮的狼”，它們可能在暗中竊取你的秘密，然后發(fā)送到主人的郵箱中。對于一個自己不放心的軟件，要得知它們在網(wǎng)絡(luò)的一舉一動，關(guān)鍵就是將它們活動的數(shù)據(jù)包記錄下來，嘗試找到收集“情報”的E-mail地址后，你就可以去封E-mail了解情況了！

　　目前能截獲并記錄網(wǎng)絡(luò)數(shù)據(jù)包的軟件比較多，筆者推薦采用KFW，這是一個防火墻軟件，它最具特色的功能就是能截獲指定應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包，將發(fā)送和接收的數(shù)據(jù)一一記錄下來，您可以進行保存、分析，掌握網(wǎng)絡(luò)軟件背后的一舉一動。

　　KFW的下載地址：http://www8.pconline.com.cn/download/swdetail.phtml?id=7753，安裝后重新啟動就可以使用了。不同的網(wǎng)絡(luò)防火墻一起使用時，彼此之間可能會有所沖突，筆者建議你使用KFW時關(guān)閉掉其他網(wǎng)絡(luò)防火墻。

從早期的計算機入侵者開始，他們就努力發(fā)展能使自己重返被入侵系統(tǒng)的技術(shù)或后門。大多數(shù)入侵者的后門實現(xiàn)以下的目的：即使管理員改變密碼，仍然能再次侵入，并且使再次侵入被發(fā)現(xiàn)的可能性減至最低。

　　大多數(shù)后門是設(shè)法躲過日志，即使入侵者正在使用系統(tǒng)也無法顯示他已在線。有時如果入侵者認為管理員可能會檢測到已經(jīng)安裝的后門，他們使會以系統(tǒng)的脆弱性作為唯一后后門，反復攻破機器。

　　我們討論后門的時候都是假設(shè)入侵的黑客已經(jīng)成功地取得了系統(tǒng)則權(quán)限之后的行動。

　　1、Rhosts++后門

　　在連網(wǎng)的Unix機器中，像Rsh和Rlogin這樣的服務(wù)是基于rhosts的，使用簡單的認證方法，用戶可以輕易的改變設(shè)置而不需口令就能進入。入侵者只要向可以訪問的菜用戶的rhosts文件中輸入"++"，就可以允許任何人從任何地方進入這個賬戶。而當home目錄通過NFS向外共享時，入侵者更熱衷于此。這些賬號也成了入侵者再次侵入的后門。許多人喜歡使用Rsh，團為它通常缺少日志能力。許多管理員經(jīng)常檢查“++”．所以入侵者實際上多設(shè)置來自網(wǎng)上的另一個賬號的主機名和用戶名，從而不易被發(fā)現(xiàn)。

　　2、校驗及時間戳后門

　　早期，許多入侵者用自己的“特洛伊木馬”程序替代二進制文件。系統(tǒng)管理員便依靠時間戳和系統(tǒng)校驗和的程序辨別一個二進制文件是否己被改變，如Unix的sum程序。為此入侵者發(fā)展了使特洛伊木馬文件和原文件時間戳同步的新技術(shù)。它是這樣實現(xiàn)的：先將系統(tǒng)時鐘撥回到原文件時間，然后調(diào)整特洛伊木文件的時間為系統(tǒng)時間。一旦二進制特洛伊木馬文件與原來的精確同步，就可以把系統(tǒng)時間設(shè)回當前時間。sum程序基于crc校驗，很容易被騙過。

　　3、Login 后門

　　unix里，Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令，它將忽視管理員設(shè)置的口令讓你長驅(qū)直入：這將允許入侵者進入任何賬號，甚至是root目錄。由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個訪問，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后，使用“strings”命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗和檢測這種后門。

　　4、服務(wù)后門

　　幾乎所有網(wǎng)絡(luò)服務(wù)曾被入侵者做過后門。有的只是連接到某個TCP端口shell，通過后門口令就能獲取訪問。管理貝應(yīng)該非常注意那些服務(wù)正在運行，并用MD5對原服務(wù)程序做校驗。

　　5、Cronjob后門

　　Unix上的Cronjob可以按時間表調(diào)度特定程序的運行。入侵者可以加入后門shell程序，使它在1AM到2AM之間運行，那么每晚有一個小時可以獲得訪問。也可以查看cronjob中經(jīng)常運行的合法程序，同時置入后門。

　　6、庫后門

　　幾乎所有的Unix系統(tǒng)都使用共享庫，一些入侵者在像cryPt.c和_crypt.c這些函數(shù)里做了后門。像Login這樣的程序調(diào)用了crypt()，當使用后門口令對產(chǎn)生一個shell因此,即使管理員用MD5檢查Login程序，仍然能產(chǎn)生一個后門函數(shù)。而且許多管理員并不會檢查庫是否被做了后門。另外入侵者對open()和文件訪問函數(shù)做后門。后門函數(shù)讀原文件但執(zhí)行特洛伊木馬后門程序。所以當MD5讀這些文件時，校驗和一切正常。但內(nèi)系統(tǒng)運行時將執(zhí)行持洛伊木馬版本。即使特洛伊木馬庫本身也可躲過MD5校驗。對于管理員來說有一種方法可以找到后門，就是靜態(tài)編連MD5校驗程序，然后運行。靜態(tài)連接程序不會使用特洛伊木馬共享庫。

標簽：沈陽紅河上海樂山新疆長治河南滄州

巨人網(wǎng)絡(luò)通訊聲明：本文標題《網(wǎng)絡(luò)后門面面觀》，本文關(guān)鍵詞；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

佳木斯湛栽影视文化发展公司

網(wǎng)絡(luò)后門面面觀

QQ咨詢

電話咨詢