系統後門

大多數入侵者的後門實現以下二到三個目的:

即使管理員通過改變所有密碼類似的方法來提高安全性，仍然能再次侵入，使再次侵入被發現的可能性減至最低。大多數後門設法躲過日誌，大多數情況下即使入侵者正在使用系統也無法顯示他已在線. 一些情況下, 如果入侵者認為管理員可能會檢測到已經安裝的後門, 他們以系統的 脆弱性作為唯一的後門,從而反覆攻破機器. 這也不會引起管理員的注意. 所以在 這樣的情況下，一台機器的脆弱性是它唯一未被注意的後門.

這是入侵者使用的最早也是最老的方法, 它不僅可以獲得對Unix機器的訪問, 而且可以通過破解密碼製造後門. 這就是破解口令薄弱的賬號. 以後即使管理員封了入侵者的當前賬號,這些新的賬號仍然可能是重新侵入的後門. 多數情況下, 入侵者尋找口令薄弱的未使用賬號,然後將口令改的難些. 當管理員尋找口令薄弱的賬號是, 也不會發現這些密碼已修改的賬號.因而管理員很難確定查封哪個賬號.

在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts文件裏的主機名使用簡單的認證方法. 用户可以輕易的改變設置而不需口令就能進入. 入侵者只要向可以訪問的某用户的rhosts文件中輸入"+ +", 就可以允許任何人從任何地方無須口令便能進入這個賬號. 特別當home目錄通過NFS向外共享時, 入侵者更熱中於此. 這些賬號也成了入侵者再次侵入的後門. 許多人更喜歡使用Rsh, 因為它通常缺少日誌能力. 許多管

理員經常檢查 "+ +", 所以入侵者實際上多設置來自網上的另一個賬號的主機名和用户名,從而不易被發現.

早期,許多入侵者用自己的trojan程序替代二進制文件. 系統管理員便依靠時間戳和系統校驗和的程序辨別一個二進制文件是否已被改變, 如Unix裏的sum程序. 入侵者又發展了使trojan文件和原文件時間戳同步的新技術. 它是這樣實現的: 先將系統時鐘撥回到原文件時間, 然後調整trojan文件的時間為系統時間. 一旦二進制trojan文件與原來的精確同步, 就可以把系統時間設回當前時間. sum程序是基於CRC校驗, 很容易

騙過.入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序. MD5是被大多數人推薦的,MD5使用的算法還沒人能騙過.

在Unix裏,login程序通常用來對telnet來的用户進行口令驗證. 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令. 如果用户敲入後門口令,它將忽視管理員設置的口令讓你長驅直入. 這將允許入侵者進入任何賬號,甚至是root.由於後門口令是在用户真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問的, 所以入侵者可以登錄獲取shell卻不會暴露該賬號. 管理員注意到這種後門後, 便

用"strings"命令搜索login程序以尋找文本信息. 許多情況下後門口令會原形畢露.入侵者就開始加密或者更好的隱藏口令, 使strings命令失效. 所以更多的管理員是用MD5校驗和檢測這種後門的.

當用户telnet到系統, 監聽端口的inetd服務接受連接隨後遞給in.telnetd,由它運行login.一些入侵者知道管理員會檢查login是否被修改, 就着手修改in.telnetd.在in.telnetd內部有一些對用户信息的檢驗, 比如用户使用了何種終端. 典型的終端設置是Xterm或者VT100.入侵者可以做這樣的後門, 當終端設置為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門, 對來自特定源端口的連接產

生一個shell .

幾乎所有網絡服務曾被入侵者作過後門. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本隨處多是. 有的只是連接到某個TCP端口的shell,通過後門口令就能獲取訪問.這些程序有時用刺媧□？ucp這樣不用的服務,或者被加入inetd.conf作為一個新的服務.管理員應該非常注意那些服務正在運行, 並用MD5對原服務程序做校驗.