后门（1 / 2）

后门

一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个，特洛伊木马就是的最好范例。unix中留的方法有很多种，下面介绍几种常见的，供网络管理员参考防范。

密码破解

这是入侵者使用的最早也是最老的方法，它不仅可以获得对unix机器的访问，而且可以通过破解密码制造。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

rhosts++

在连网的unix机器中，象rsh和rlog这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"++"，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当hoe目录通过nfs向外共享时，入侵者更热中于此。这些帐号也成了入侵者再次侵入的。许多人更喜欢使用rsh，因为它通常缺少日志能力。许多管理员经常检查"++"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。

校验和及时间戳

早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否已被改变，如unix里的su程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步，就可以把系统时间设回当前时间。su程序是基于crc校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。d5是被大多数人推荐的，d5使用的算法目前还没人能骗过。

log

在unix里，log程序通常用来对tel来的用户进行口令验证。入侵者获取logc的原代码并修改，使它在比较输入口令与存储口令时先检查口令。如果用户敲入口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至是root。由于口令是在用户真实登录并被日志记录到utp和tp前产生一个访问的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后，便用"strgs"命令搜索log程序以寻找文本信息。许多情况下口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strgs命令失效。所以更多的管理员是用d5校验和检测这种的。

teld

当用户tel到系统，监听端口的id服务接受连接随后递给teld，由它运行log一些入侵者知道管理员会检查log是否被修改，就着手修改teld在teld内部有一些对用户信息的检验，比如用户使用了何种终端。典型的终端设置是xter或者vt100入侵者可以做这样的，当终端设置为"lete"时产生一个不要任何验证的shell入侵者已对某些服务作了，对来自特定源端口的连接产生一个shell。

服务

几乎所有网络服务曾被入侵者作过。fr，rsh，rexec，rlog，ftp，甚至id等等的作了的版本随处多是。有的只是连接到某个tcp端口的shell，通过口令就能获取访问。这些程序有时用刺娲□？ucp这样不用的服务，或者被加入idnf作为一个新的服务，管理员应该非常注意那些服务正在运行，并用d5对原服务程序做校验。

cronjob

unix上的cronjob可以按时间表调度特定程序的运行。入侵者可以加入shell程序使它在1a到2a之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入。