发信人: dataf10w()
整理人: williamlong(2000-04-08 10:13:40), 站内信件
|
以下是我正在写的一篇文章的概要,由于众所周知的原因,
在公开讨论时我删去了所有攻击性的代码,链接,详细技术
细节以及实现例子。目的是希望各位对各种常见的标准Unix
攻击方式有一个了解,再应用到实际的安全防范中去。注意:
这只是一个概要,你不要期望从中获得什么立杆见影的攻
击手段,至于防范措施涉及到我合作者的一些文章,因此在
公开讨论时将不会提及。
copyright by DATAF10W
===续上篇=============================
放置后门并清除log
对于攻击者而言,保留一个自由出入的入口是方便而必要的。Backdoor的放置方
式手法很多,从初级的到高级的。设置良好的backdoor也许只有重新安装才能清
除。
1. 加入一个新帐号
2. 通过.rhosts...太简单
3. 通过.profile...太简单
4. 通过.forword...简单
5. 通过bind tcp shell。bind shell的手法也有多种,也可以反映入侵者的技术
水平.
6. icmp backdoor,封装在icmp包中的后门,很多入侵者喜欢在firewall后面放置
.如果管理员没有注意到短期内的icmp风暴,那么就会忽略它了.
7. udp backdoor,udp的backdoor比较少见,对于允许udp穿过的firewall,很合适
的一个backdoor.不过现代的一些IDS软件能注意到不正常udp包.
8. 替换标准服务进程,几乎所有的服务进程都被作过木马和后门,常见的可能是
login,telnet,finger,...
9.是的,inetd也是一个隐秘的后门放置地点.去年一个流行的rootkit包里,有一
个inetd的木马,对发起方做两重效验以后就能spam出一个shell.除非以前有md5
效验或者管理员用sniffing来监听,否则几乎无法发现.
10.crontab backdoor,一个实现相当简单的后门方式.
11.inetd.conf 加入bind shell,很容易发现,可惜不少网管连inetd.conf是做什
么的都不知道.
12.动态连接库后门,修改了密码验证的动态连接库.如果没有对库文件做文件完整
性检查,几乎不可能被发现.
13.Boot块后门
在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变. Uni
x下,多数
管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区.
14.内核后门,如果系统中有这种后门,那么是一个相当高明的入侵者,还是重装吧
,这可能最保险.
当然,后门不仅仅是上面的这些,我会专门花时间来写篇论文:-),仅仅在firewall
后门放置backdoor的方法和例子就够写不少篇幅.
===============待续======
请保持完整 [email protected]
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 210.72.231.126]
|
|