返回
计算机安全攻防之开辟后门

计算机安全攻防之开辟后门

ID:40010208

大小:148.50 KB

页数:28页

时间:2019-07-17

计算机安全攻防之开辟后门_第1页
计算机安全攻防之开辟后门_第2页
计算机安全攻防之开辟后门_第3页
计算机安全攻防之开辟后门_第4页
计算机安全攻防之开辟后门_第5页
资源描述:

《计算机安全攻防之开辟后门》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七讲开辟后门王大勇wangdayong@263.net主要内容攻击过程开辟后门2主要内容攻击过程开辟后门3连续攻击过程寻找攻击目标攻击主机并获取控制权在已攻击成功的主机中安装攻击程序利用已攻击成功的主机继续进行扫描和攻击攻击者在主控端给客户端攻击程序发布攻击命令4主要内容攻击过程开辟后门5开辟后门文件系统后门攻击者需要在服务器上储存文件与数据,并不被管理员发现。攻击者经常利用的是:exploit脚本工具、后门集、sniffer日志、email的备份、源代码等。有时为了防止管理员发现这些文件,需要修补ls,du,fsck,隐匿特定的目录和文件。还有一种方法是,以专有的格式在硬盘上割出一部分,

2、且表示为坏的扇区,攻击者应用特别的工具访问这些隐藏的文件。6主要内容Rhosts++后门在联网的UNIX机器中,像rsh和rlogin这样的服务是基于Rhosts文件里的主机名提供的认证服务。用户改变设置不需口令就能进入系统。攻击者只要向可以访问的某用户的rhosts文件中输入“+”,就可以允许任何人从任何地方无须口令进入这个帐号。这些帐号也成了攻击者再次入侵的后门。许多攻击者更喜欢使用rsh,因为它通常缺少日志能力许多管理员经常检查“++”,所以攻击者实际上设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。7开辟后门密码破解后门这是攻击者使用的最古老的方法,它不仅可以获得对UNIX

3、机器的访问权限,而且可以通过破解密码制造后门。在破解具有弱口令的帐号以后即使管理员关闭了攻击者的当前帐号,这些新的帐号仍然可能是重新入侵的后门。多数情况下,攻击者寻找具有弱口令的未使用帐号,然后将口令改得难一些,当管理员寻找弱口令帐号时,不会发现这些口令已被修改的帐号。8开辟后门Login后门在UNIX里,login程序通常用来对telnet用户进行口令验证。攻击者获取login.c的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果攻击者敲入后门口令,它将忽视管理员设置的口令使攻击者通过认证。这将允许攻击者进入任何帐号,甚至root帐号。管理员注意到这种后门后,便用strin

4、gs命令搜索login程序寻找文本信息。多数情况下会使后门口令原形毕露。9开辟后门Telnet后门当用户telnet到系统,监听端口的Inetd服务接受连接,并传递给in.telnetd,由它运行login。一些攻击者知道管理员会检查login是否被修改,于是修改in.telnetd。在in.telnet内部有一些对用户信息的检查,比如用户使用了何种终端。典型设置是Xterm或VT100。攻击者可以做这样的后门,当终端设置为“letmein”时产生一个不要任何验证的shell。攻击者已对某些服务作了后门,对来自特定源端口的连接产生一个shell。10开辟后门库后门几乎所有的UNIX系统都使用

5、共享库,共享库用于相同函数的重用从而减少代码长度。一些攻击者在crypt.c这类函数里做后门,像login.c这样的程序调用crypt(),当使用后门口令是产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数。管理员有一种方法可以找到后门,就是静态编连MD5校验程序然后运行。11开辟后门校验和时间戳后门早期,许多攻击者用自己的trojan程序替代二进制文件。系统管理员校验及程序辨别二进制文件是否被改变。后来,攻击者开发了使torjan文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二

6、进制trojan文件与原文件精确同步,就可以把系统设回当前时间。sum程序基于CRC校验,很容易骗过。攻击者可以将trojan的校验和调整为原文件的校验和。12开辟后门服务后门几乎所有的网络服务都曾被攻击者做过后门,finger,rsh,rlogin,FTP,甚至inetd等的后门版本随处可见。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问权限。这些程序有时用uucp这样不常用的服务,或者加入到inetd.conf作为一个新的服务。13开辟后门Cronjob后门UNIX上的cronjob可以按时间表调度特定程序的运行。攻击者可以加入后门shell程序使它在1AM到2AM之

7、间运行,那么每晚有一个小时可以获得访问权限。攻击者可以查看cronjob中经常运行的合法程序,同时置入后门。根用户的crontab文件放在/var/spool/root中,其格式如下:(1)(2)(3)(4)(5)(6)00**3/usr/bin/updatedb以上内容设置/usr/bin/updatedb程序于每个星期三0:0运行。14开辟后门内核后门内核是UNIX等各种操作系统工作的核心,内核中嵌入后门

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。