计算机安全攻防之开辟后门

资源描述

《计算机安全攻防之开辟后门》由会员分享，可在线阅读，更多相关《计算机安全攻防之开辟后门（28页珍藏版）》请在金锄头文库上搜索。

1、第七讲开辟后门王大勇 1 1主要内容l攻击过程 l开辟后门2 2主要内容l攻击过程 l开辟后门3 3连续攻击过程寻找攻击目标攻击主机并获取控制权在已攻击成功的主机中安装攻击程序利用已攻击成功的主机继续进行扫描和攻击攻击者在主控端给客户端攻击程序发布攻击命令4 4主要内容l攻击过程 l开辟后门5 5开辟后门l文件系统后门攻击者需要在服务器上储存文件与数据，并不被管理员发现。攻击者经常利用的是：exloit脚本工具、后门集、sniffer日志、email的备份、源代码等。有时为了防止管理员发现这些文件，需要修补ls，du，fsck，隐匿特定的目录和文件。还有一种方法是，以专有的格式在硬

2、盘上割出一部分，且表示为坏的扇区，攻击者应用特别的工具访问这些隐藏的文件。6 6主要内容lRhosts+后门在联网的UNIX机器中，像rsh和rlogin这样的服务是基于 Rhosts文件里的主机名提供的认证服务。用户改变设置不需口令就能进入系统。攻击者只要向可以访问的某用户的 rhosts文件中输入“+”，就可以允许任何人从任何地方无须口令进入这个帐号。这些帐号也成了攻击者再次入侵的后门。许多攻击者更喜欢使用rsh，因为它通常缺少日志能力许多管理员经常检查“+”，所以攻击者实际上设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。7 7开辟后门l密码破解后门这是攻击者使用

3、的最古老的方法，它不仅可以获得对 UNIX机器的访问权限，而且可以通过破解密码制造后门。在破解具有弱口令的帐号以后即使管理员关闭了攻击者的当前帐号，这些新的帐号仍然可能是重新入侵的后门。多数情况下，攻击者寻找具有弱口令的未使用帐号，然后将口令改得难一些，当管理员寻找弱口令帐号时，不会发现这些口令已被修改的帐号。8 8开辟后门lLogin后门在UNIX里，login程序通常用来对telnet用户进行口令验证。攻击者获取login.c的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果攻击者敲入后门口令，它将忽视管理员设置的口令使攻击者通过认证。这将允许攻击者进入任

4、何帐号，甚至root帐号。管理员注意到这种后门后，便用strings命令搜索login程序寻找文本信息。多数情况下会使后门口令原形毕露。9 9开辟后门lTelnet后门当用户telnet到系统，监听端口的Inetd服务接受连接，并传递给in.telnetd，由它运行login。一些攻击者知道管理员会检查login是否被修改，于是修改in.telnetd。在in.telnet 内部有一些对用户信息的检查，比如用户使用了何种终端。典型设置是Xterm或VT100。攻击者可以做这样的后门，当终端设置为“letmein”时产生一个不要任何验证的shell 。攻击者已对某些服务作了后门，对来

5、自特定源端口的连接产生一个shell。1010开辟后门l库后门几乎所有的UNIX系统都使用共享库，共享库用于相同函数的重用从而减少代码长度。一些攻击者在cryt.c这类函数里做后门，像login.c这样的程序调用cryt（），当使用后门口令是产生一个shell。因此，即使管理员用MD5检查 login程序，仍然能产生一个后门函数。管理员有一种方法可以找到后门，就是静态编连MD5校验程序然后运行。1111开辟后门l校验和时间戳后门早期，许多攻击者用自己的trojan程序替代二进制文件。系统管理员校验及程序辨别二进制文件是否被改变。后来，攻击者开发了使torjan文件和原文件时间戳同

6、步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan 文件与原文件精确同步，就可以把系统设回当前时间。 sum程序基于CRC校验，很容易骗过。攻击者可以将 trojan的校验和调整为原文件的校验和。1212开辟后门l服务后门几乎所有的网络服务都曾被攻击者做过后门， finger，rsh，rlogin，FT，甚至inetd等的后门版本随处可见。有的只是连接到某个TC端口的 shell，通过后门口令就能获取访问权限。这些程序有时用uuc这样不常用的服务，或者加入到 inetd.conf作为一个新的服务。1313开辟后门l

7、Cronjob后门UNIX上的cronjob可以按时间表调度特定程序的运行。攻击者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问权限。攻击者可以查看 cronjob中经常运行的合法程序，同时置入后门。根用户的crontab文件放在/var/sool/root中，其格式如下：（1）（2）（3）（4）（5）（6） 0 0 * * 3 / usr /bin /udatedb以上内容设置/usr/bin/udatedb程序于每个星期三0：0运行。1414开辟后门l内核后门内核是UNIX等各种操作系统工作的核心，内核中嵌入后门程序最难被管理员发现。

8、 lboot块后门在C世界里，通过杀毒软件检查引导区的完整性发现病毒。在UNIX中，多数管理员没有检查引导区的软件，所以攻击者常常将后门程序留在引导区。1515开辟后门l隐匿进程后门攻击者希望隐匿他们运行的程序，通常是口令破解程序和监听程序（sniffer）。较常用的方法是：编写程序时修改自己的argv 使它看起来像其他进程名；将sniffer程序改名为in.syslog在执行。因此当管理员用“s”检查运行进程时，出现的是标准服务名。修改库函数使“s”不能显示所有的进程。将一个后门或程序嵌入中断驱动程序使它不会在进程表中显示。1616开辟后门l网络通信后门攻击者不仅希望隐匿

9、他们留在系统里的痕迹，而且也希望要隐匿他们的网络通信。有许多网络后门程序允许攻击者建立某个端口号，并不用通过普通服务就能实现访问。因为这是通过非标准网络端口进行的，管理员可能忽视攻击者的踪迹。这种后门通常使用TC，UD和ICM，但也有可能是其他类型的报文。1717开辟后门lTC shell后门攻击者可能在放火墙没有阻塞的高位TC端口建立这些TC shell后门。许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态，哪些端口在侦听，以及目前的连接状态等。通常这些后门可以让攻击者躲过TC wraer检查。

10、这些后门可以放在SMT端口，因为许多防火墙允许E-mail通过。1818开辟后门lUD shell后门管理员经常注意TC连接并观察其异常情况，而 UD shell后门没有这样的连接，所以Netstat不能显示攻击者的访问痕迹，许多放火墙设置成允许类似DNS的UD报文的通行，通常攻击者将UD shell放置在这个端口，通过它穿越防火墙。1919开辟后门lICM shell后门g是通过发送和接受ICM包检测机器活动状态的通用方法之一。许多防火墙允许外界g它内部的机器。攻击者可以将数据放进g的ICM包，在g通过的机器间形成一个Shell通道。管理员也许会注意到g包风暴，但除非他查看包内

11、数据，否则攻击者痕迹不会暴露。2020手工克隆帐号后门l把管理员权限复制给一个普通帐号 l例如将系统内建guest帐号变换成管理员权限帐号 l可以使用权限提升工具SU.exe来实现，修改注册表SAM lSU可以捕获system系统进程，并以该权限修改SAM2121制造Unicode漏洞后门l替换目标服务器IIS服务文件，制造unicode 漏洞 l在IIS Web文档根目录中放入cmd.exe，并将其隐藏2222制造.idq漏洞后门l将idq.dll放入目标IIS服务器Scrits目录中，并将其隐藏 l在本地使用isc与目标服务器建立连接： isc 目标I/scrits/idq.d

12、ll l如果连接成功，就会在本地得到： C:winntsystem32 远程服务器的Shell2323Winshell后门lWindows平台上精巧的telnet服务器，主程序5k左右，可以完全独立运行而不依赖任何系统动态链接库 l支持定制端口、密码保护、多用户登陆、 NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能2424Wollf木马后门l一款经典的木马程序，功能强大，几乎就是一个小型的操作系统 l拥有自己的专用命令、扩展了Telnet服务、集成文件传输服务、FT服务、键盘记录、 Sniffer、端口转发等功能，还可以实现反向连接 l可以随系统启动，或作为普通程序启动2525SQL后门l即使入侵者掌握了目标服务器的SQL服务 SA口令，通常也不能从外部直接连接访问目标服务器，因为防火墙上一般会过滤掉对1433端口的访问请求 l使用工具SqlRootKit.as可以通过web方式远程控制目标服务器2626SQL后门l修改SqlRootKit.as，输入目标SQL服务器的用户名和密码信息 l将SqlRootKit.as放入目标主机的web服务器 l攻击者就可以通过IE远程控制目标服务器： htt:/目标主机I/SqlRootKit.as l使用这里方式构建后门，目标主机管理人员比较难于发现和阻止2727内容回顾l攻击过程 l开辟后门2828

展开阅读全文