系統後門

大多數入侵者的後門實現以下二到三個目的:

即使管理員通過改變所有密碼類似的方法來提高安全性，仍然能再次侵入，使再次侵入被發現的可能性減至最低。大多數後門設法躲過日誌，大多數情況下即使入侵者正在使用系統也無法顯示他已線上. 一些情況下, 如果入侵者認為管理員可能會檢測到已經安裝的後門, 他們以系統的 脆弱性作為唯一的後門,從而反覆攻破機器. 這也不會引起管理員的注意. 所以在 這樣的情況下，一台機器的脆弱性是它唯一未被注意的後門.

這是入侵者使用的最早也是最老的方法, 它不僅可以獲得對Unix機器的訪問, 而且可以通過破解密碼製造後門. 這就是破解口令薄弱的帳號. 以後即使管理員封了入侵者的當前帳號,這些新的帳號仍然可能是重新侵入的後門. 多數情況下, 入侵者尋找口令薄弱的未使用帳號,然後將口令改的難些. 當管理員尋找口令薄弱的帳號是, 也不會發現這些密碼已修改的帳號.因而管理員很難確定查封哪個帳號.

在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts檔案里的主機名使用簡單的認證方法. 用戶可以輕易的改變設定而不需口令就能進入. 入侵者只要向可以訪問的某用戶的rhosts檔案中輸入"+ +", 就可以允許任何人從任何地方無須口令便能進入這個帳號. 特別當home目錄通過NFS向外共享時, 入侵者更熱中於此. 這些帳號也成了入侵者再次侵入的後門. 許多人更喜歡使用Rsh, 因為它通常缺少日誌能力. 許多管

理員經常檢查 "+ +", 所以入侵者實際上多設定來自網上的另一個帳號的主機名和用戶名,從而不易被發現.

早期,許多入侵者用自己的trojan程式替代二進制檔案. 系統管理員便依靠時間戳和系統校驗和的程式辨別一個二進制檔案是否已被改變, 如Unix里的sum程式. 入侵者又發展了使trojan檔案和原檔案時間戳同步的新技術. 它是這樣實現的: 先將系統時鐘撥回到原檔案時間, 然後調整trojan檔案的時間為系統時間. 一旦二進制trojan檔案與原來的精確同步, 就可以把系統時間設回當前時間. sum程式是基於CRC校驗, 很容易

騙過.入侵者設計出了可以將trojan的校驗和調整到原檔案的校驗和的程式. MD5是被大多數人推薦的,MD5使用的算法目前還沒人能騙過.

在Unix里,login程式通常用來對telnet來的用戶進行口令驗證. 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令. 如果用戶敲入後門口令,它將忽視管理員設定的口令讓你長驅直入. 這將允許入侵者進入任何帳號,甚至是root.由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問的, 所以入侵者可以登錄獲取shell卻不會暴露該帳號. 管理員注意到這種後門後, 便

用"strings"命令搜尋login程式以尋找文本信息. 許多情況下後門口令會原形畢露.入侵者就開始加密或者更好的隱藏口令, 使strings命令失效. 所以更多的管理員是用MD5校驗和檢測這種後門的.

當用戶telnet到系統, 監聽連線埠的inetd服務接受連線隨後遞給in.telnetd,由它運行login.一些入侵者知道管理員會檢查login是否被修改, 就著手修改in.telnetd.在in.telnetd內部有一些對用戶信息的檢驗, 比如用戶使用了何種終端. 典型的終端設定是Xterm或者VT100.入侵者可以做這樣的後門, 當終端設定為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門, 對來自特定源連線埠的連線產

生一個shell .

幾乎所有網路服務曾被入侵者作過後門. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本隨處多是. 有的只是連線到某個TCP連線埠的shell,通過後門口令就能獲取訪問.這些程式有時用刺媧□？ucp這樣不用的服務,或者被加入inetd.conf作為一個新的服務.管理員應該非常注意那些服務正在運行, 並用MD5對原服務程式做校驗.