Linux环境下入侵工具Knark的分析及防范

• 　　本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术，并且对最著名的rootkit工具之一?knark进行了详细的分析，并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。

  　　什么是"rootkit"?

  　　入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的“rootkit”可不是给超级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序，这样的话，程序员在试图通过这些命令查询系统状况的时候，就无法通过这些假的系统程序发觉入侵者的行踪。

  　　在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。

  　　入侵者通过：设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

  　　*设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

  　　*系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。

  　　*Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。

  　　具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。

  　　*".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。

  　　*ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。

  　　*Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。

  　　*Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途径。

  　　在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据，这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。

  　　为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。

  　　为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。

  　　RootKit-Knark的历史

• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• Linux环境下入侵工具Knark的分析及防范 相关文章：
• ·魔法门7 攻略解析
• ·校园网网络方案设计及分析
• ·Linux操作系统源代码详细分析
• ·计算机一级B考试试题分析
• ·联讯证券同花顺软件分析系统使用
• ·ORACLE UPDATE 语句语法与性能分析的一点看法
• ·网站推广计划的一个案例分析
• ·经典爱情格言爱情名句赏析
• ·Excel中自定义函数实例剖析
• ·网络术语解析-ICS
• Linux环境下入侵工具Knark的分析及防范 相关软件
• ·龙卷风基金投资分析系统
• ·大福星行情分析系统 V1.52
• ·大智慧level2行情分析系统 V2.1
• ·同花顺证券行情分析软件(同花顺)2007 V4.40.12
• ·大智慧新一代高速行情分析系统(Internet) V2.05.07.0208
• ·木马分析专家2007V9.49 Build 1226
• ·科来网络分析系统 V6.5
• ·国海证券投资通金融行情分析交易整合系统 V1.0
• ·长江证券分析软件 普通版 V4.30.59
• ·和讯股道实时行情分析系统 普及版

上一篇:速写风格图标设计作品欣赏

下一篇:自己设计制作电脑系统的动画光标

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐