计算机安全攻防之开辟后门

第七讲开辟后门王大勇wangdayong@263.net1.主要内容攻击过程开辟后门2.主要内容攻击过程开辟后门3.连续攻击过程寻找攻击目标攻击主机并获取控制权在已攻击成功的主机中安装攻击程序利用已攻击成功的主机继续进行扫描和攻击攻击者在主控端给客户端攻击程序发布攻击命令4.主要内容攻击过程开辟后门5.开辟后门文件系统后门攻击者需要在效劳器上储存文件与数据，并不被管理员发现。攻击者经常利用的是：exploit脚本工具、后门集、sniffer日志、email的备份、源代码等。有时为了防止管理员发现这些文件，需要修补ls，du，fsck，隐匿特定的目录和文件。还有一种方法是，以专有的格式在硬盘上割出一局部，且表示为坏的扇区，攻击者应用特别的工具访问这些隐藏的文件。6.主要内容Rhosts++后门在联网的UNIX机器中，像rsh和rlogin这样的效劳是基于Rhosts文件里的主机名提供的认证效劳。用户改变设置不需口令就能进入系统。攻击者只要向可以访问的某用户的rhosts文件中输入“+〞，就可以允许任何人从任何地方无须口令进入这个帐号。这些帐号也成了攻击者再次入侵的后门。许多攻击者更喜欢使用rsh，因为它通常缺少日志能力许多管理员经常检查“++〞，所以攻击者实际上设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。7.开辟后门密码破解后门

这是攻击者使用的最古老的方法，它不仅可以获得对UNIX机器的访问权限，而且可以通过破解密码制造后门。在破解具有弱口令的帐号以后即使管理员关闭了攻击者的当前帐号，这些新的帐号仍然可能是重新入侵的后门。多数情况下，攻击者寻找具有弱口令的未使用帐号，然后将口令改得难一些，当管理员寻找弱口令帐号时，不会发现这些口令已被修改的帐号。8.开辟后门Login后门在UNIX里，login程序通常用来对telnet用户进行口令验证。攻击者获取login.c的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果攻击者敲入后门口令，它将无视管理员设置的口令使攻击者通过认证。这将允许攻击者进入任何帐号，甚至root帐号。管理员注意到这种后门后，便用strings命令搜索login程序寻找文本信息。多数情况下会使后门口令原形毕露。9.开辟后门Telnet后门当用户telnet到系统，监听端口的Inetd效劳接受连接，并传递给in.telnetd，由它运行login。一些攻击者知道管理员会检查login是否被修改，于是修改in.telnetd。在in.telnet内部有一些对用户信息的检查，比方用户使用了何种终端。典型设置是Xterm或VT100。攻击者可以做这样的后门，当终端设置为“letmein〞时产生一个不要任何验证的shell。攻击者已对某些效劳作了后门，对来自特定源端口的连接产生一个shell。10.开辟后门库后门几乎所有的UNIX系统都使用共享库，共享库用于相同函数的重用从而减少代码长度。一些攻击者在crypt.c这类函数里做后门，像login.c这样的程序调用crypt〔〕，当使用后门口令是产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数。管理员有一种方法可以找到后门，就是静态编连MD5校验程序然后运行。11.开辟后门校验和时间戳后门早期，许多攻击者用自己的trojan程序替代二进制文件。系统管理员校验及程序区分二进制文件是否被改变。后来，攻击者开发了使torjan文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原文件精确同步，就可以把系统设回当前时间。sum程序基于CRC校验，很容易骗过。攻击者可以将trojan的校验和调整为原文件的校验和。12.开辟后门效劳后门几乎所有的网络效劳都曾被攻击者做过后门，finger，rsh，rlogin，FTP，甚至inetd等的后门版本随处可见。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问权限。这些程序有时用uucp这样不常用的效劳，或者参加到inetd.conf作为一个新的效劳。13.开辟后门Cronjob后门UNIX上的cronjob可以按时间表调度特定程序的运行。攻击者可以参加后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问权限。攻击者可以查看cronjob中经常运行的合法程序，同时置入后门。根用户的crontab文件放在/var/spool/root中，其格式如下：〔1〕〔2〕〔3〕〔4〕〔5〕〔6〕00**3/usr/bin/updatedb以上内容设置/usr/bin/updatedb程序于每个星期三0：0运行。14.开辟后门内核后门

内核是UNIX等各种操作系统工作的核心，内核中嵌入后门程序最难被管理员发现。boot块后门

在PC世界里，通过杀毒软件检查引导区的完整性发现病毒。在UNIX中，多数管理员没有检查引导区的软件，所以攻击者常常将后门程序留在引导区。15.开辟后门隐匿进程后门攻击者希望隐匿他们运行的程序，通常是口令破解程序和监听程序〔sniffer〕。较常用的方法是：编写程序时修改自己的argv[]使它看起来像其他进程名；将sniffer程序改名为in.syslog在执行。因此当管理员用“ps〞检查运行进程时，出现的是标准效劳名。修改库函数使“ps〞不能显示所有的进程。将一个后门或程序嵌入中断驱动程序使它不会在进程表中显示。16.开辟后门网络通信后门攻击者不仅希望隐匿他们留在系统里的痕迹，而且也希望要隐匿他们的网络通信。有许多网络后门程序允许攻击者建立某个端口号，并不用通过普通效劳就能实现访问。因为这是通过非标准网络端口进行的，管理员可能无视攻击者的踪迹。这种后门通常使用TCP，UDP和ICMP，但也有可能是其他类型的报文。17.开辟后门

TCPshell后门

攻击者可能在放火墙没有阻塞的高位TCP端口建立这些TCPshell后门。许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态，哪些端口在侦听，以及目前的连接状态等。通常这些后门可以让攻击者躲过TCPwrapper检查。这些后门可以放在SMTP端口，因为许多防火墙允许E-mail通过。

18.开辟后门

UDPshell后门管理员经常注意TCP连接并观察其异常情况，而UDPshell后门没有这样的连接，所以Netstat不能显示攻击者的访问痕迹，许多放火墙设置成允许类似DNS的UDP报文的通行，通常攻击者将UDPshell放置在这个端口，通过它穿越防火墙。19.开辟后门ICMPshell后门ping是通过发送和接受ICMP包检测机器活动状态的通用方法之一。许多防火墙允许外界ping它内部的机器。攻击者可以将数据放进ping的ICMP包，在ping通过的机器间形成一个Shell通道。管理员也许会注意到ping包风暴，但除非他查看包内数据，否那么攻击者痕迹不会暴露。20.手工克隆帐号后门把管理员权限复制给一个普通帐号例如将系统内建guest帐号变换成管理员权限帐号可以使用权限提升工具PSU.exe来实现，修改注册表SAMPSU可以捕获system系统进程，并以该权限修改SAM21.制造Unicode漏洞后门替换目标效劳器IIS效劳文件，制造unicode漏洞在IISWeb文档根目录中放入cmd.exe，并将其隐藏22.制造.idq漏洞后门将idq.dll放入目标IIS效劳器Scripts目录中，并将其隐藏在本地使用ispc与目标效劳器建立连接： ispc目标IP/scripts/idq.dll如果连接成功，就会在本地得到：C:\winnt\system32>远程效劳器的Shell23.Winshell后门Windows平台上精巧的telnet效劳器，主程序5k左右，可以完全独立运行而不依赖任何系统动态链接库支持定制端口、密码保护、多用户登陆、NT效劳方式、远程文件下载、信息自定义及独特的反DDOS功能24.Wollf木马后门一款经典的木马程序，功能强大，几乎就是一个小型的操作系统拥有自己的专用命令、扩展了Telnet效劳、集成文件传输效劳、FTP效劳、键盘记录、Sniffer、端口转发等功能，还可以实现反向连接可以随系统启动，或作为普通程序启动25.SQL后门即使入侵者掌握了目标效劳器的SQL效劳SA口令，通常也不能从外部直接连接访问目标效劳器，因为防火墙上一般会过滤掉对1433端口的访问请求使用工具SqlRootKit.as