UNIX系统后门的安放和日志的擦除

• 
  　　当我们通过某种手段控制一个主机时，为了使自己能再次光顾这台计算机，我们通常在这个机器上留下后门，以便我们再次访问．一个做得好的后门，即使在入侵被管理员发现后，仍然能让你再次访问到主机．
  　　
  　　本文的意旨是让你学会如何在完全控制系统后保留自己的根用户权限，下面介绍一下我常用的制作后门的手法，不会也不可能覆盖到所有可能的方法，请原谅．
  　　
  　　1.Rhosts + + 后门
  　　在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现.
  　　
  　　例如：
  　　
  　　# echo + + > /usr/bin/.rhosts
  　　
  　　# cat /usr/bin/.rhosts
  　　
  　　+ +
  　　
  　　# rlogin -l bin localhost
  　　
  　　将不用输入密码直接用bin帐号rlogin登陆进你的机器．
  　　
  　　2.Login后门
  　　在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露. 入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的.
  　　
  　　一般的rootkit包里都有login后门程序．
  　　
  　　3.服务进程后门
  　　inetd 进程负责监听各个TCP和UDP端口的连接请求，并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单，基本形式如下：
  　　
  　　(1) (2) (3) (4) (5) (6) (7)
  　　
  　　shell stream tcp nowait root /usr/sbin/in.rshd in.rshd
  　　
  　　login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind
  　　
  　　exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd
  　　
  　　comsat dgram udp wait root /usr/sbin/in.comsat in.comsat
  　　
  　　talk dgram udp wait root /usr/sbin/in.talkd in.talkd
  　　
  　　1：第一栏是服务名称。服务名通过查询 /etc/services 文件（供 TCP 和 UDP 服务使用）或 portmap 守护进程（供 RPC 服务使用）映射成端口号。RPC（远程过程调用）服务由 name/num 的名字格式和第三栏中的 rpc 标志识别。
  　　
  　　2：第二栏决定服务使用的套接口类型：stream、dgram 或 raw。一般说来，stream 用于 TCP 服务，dgram 用于 UDP， raw 的使用很少见。
  　　
  　　3：第三栏标识服务使用的通信协议。允许的类型列在 protocols 文件中。协议几乎总是是 tcp 或 udp。RPC 服务在协议类型前冠以 rpc/。
  
• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• UNIX系统后门的安放和日志的擦除 相关文章：
• ·百度是这样清除黄色图片的
• ·病毒清除技巧 ati2evxx.exe 的清除方法
• ·ASP.NET中数据库的操作初步----增加、删除、修改
• ·清除浏览器地址栏列表中文地址
• ·ASP.NET2.0下含有DropDownList的GridView编辑、删除的完整例子！
• ·乱码形成原因及其消除方法大全
• ·怎样排除光驱不读盘故障？
• ·Kvsc3.exe、Kvsc3.dll病毒查杀清除方法
• ·去除pdf文件“打印”“拷贝”限制
• ·DataList分页、增加、删除、修改实例
• UNIX系统后门的安放和日志的擦除 相关软件
• ·2345首页解除器 V1.0
• ·木马清除专家 2007V1022
• ·恢复误删除的文件 Undelete PlusV2.93 简体中文版
• ·恐惧杀手（斩妖除魔）中文版
• ·2345首页解除器 V4.0
• ·木马清除大师BeatTrojan 2007 V3.2 Build 0718
• ·《魔戒:中土大战》完美解除自爆问题补丁
• ·Softscape PC Tools(删除顽固文件的好工具) V2.01
• ·绿色木马插件清除专家 V1.39
• ·Windows擦除大师 V1.0

上一篇:Unix中内核调度实体KSE和线程实现的步骤

下一篇:网管技巧：利用SCO UNIX做简单路由器

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐