第七講開辟后門王大勇wangdayong@263.net1.主要內(nèi)容攻擊過程開辟后門2.主要內(nèi)容攻擊過程開辟后門3.連續(xù)攻擊過程尋找攻擊目標攻擊主機并獲取控制權(quán)在已攻擊成功的主機中安裝攻擊程序利用已攻擊成功的主機繼續(xù)進行掃描和攻擊攻擊者在主控端給客戶端攻擊程序發(fā)布攻擊命令4.主要內(nèi)容攻擊過程開辟后門5.開辟后門文件系統(tǒng)后門攻擊者需要在效勞器上儲存文件與數(shù)據(jù)，并不被管理員發(fā)現(xiàn)。攻擊者經(jīng)常利用的是：exploit腳本工具、后門集、sniffer日志、email的備份、源代碼等。有時為了防止管理員發(fā)現(xiàn)這些文件，需要修補ls，du，fsck，隱匿特定的目錄和文件。還有一種方法是，以專有的格式在硬盤上割出一局部，且表示為壞的扇區(qū)，攻擊者應用特別的工具訪問這些隱藏的文件。6.主要內(nèi)容Rhosts++后門在聯(lián)網(wǎng)的UNIX機器中，像rsh和rlogin這樣的效勞是基于Rhosts文件里的主機名提供的認證效勞。用戶改變設置不需口令就能進入系統(tǒng)。攻擊者只要向可以訪問的某用戶的rhosts文件中輸入“+〞，就可以允許任何人從任何地方無須口令進入這個帳號。這些帳號也成了攻擊者再次入侵的后門。許多攻擊者更喜歡使用rsh，因為它通常缺少日志能力許多管理員經(jīng)常檢查“++〞，所以攻擊者實際上設置來自網(wǎng)上的另一個帳號的主機名和用戶名，從而不易被發(fā)現(xiàn)。7.開辟后門密碼破解后門

這是攻擊者使用的最古老的方法，它不僅可以獲得對UNIX機器的訪問權(quán)限，而且可以通過破解密碼制造后門。在破解具有弱口令的帳號以后即使管理員關閉了攻擊者的當前帳號，這些新的帳號仍然可能是重新入侵的后門。多數(shù)情況下，攻擊者尋找具有弱口令的未使用帳號，然后將口令改得難一些，當管理員尋找弱口令帳號時，不會發(fā)現(xiàn)這些口令已被修改的帳號。8.開辟后門Login后門在UNIX里，login程序通常用來對telnet用戶進行口令驗證。攻擊者獲取login.c的源代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果攻擊者敲入后門口令，它將無視管理員設置的口令使攻擊者通過認證。這將允許攻擊者進入任何帳號，甚至root帳號。管理員注意到這種后門后，便用strings命令搜索login程序?qū)ふ椅谋拘畔?。多?shù)情況下會使后門口令原形畢露。9.開辟后門Telnet后門當用戶telnet到系統(tǒng)，監(jiān)聽端口的Inetd效勞接受連接，并傳遞給in.telnetd，由它運行l(wèi)ogin。一些攻擊者知道管理員會檢查login是否被修改，于是修改in.telnetd。在in.telnet內(nèi)部有一些對用戶信息的檢查，比方用戶使用了何種終端。典型設置是Xterm或VT100。攻擊者可以做這樣的后門，當終端設置為“l(fā)etmein〞時產(chǎn)生一個不要任何驗證的shell。攻擊者已對某些效勞作了后門，對來自特定源端口的連接產(chǎn)生一個shell。10.開辟后門庫后門幾乎所有的UNIX系統(tǒng)都使用共享庫，共享庫用于相同函數(shù)的重用從而減少代碼長度。一些攻擊者在crypt.c這類函數(shù)里做后門，像login.c這樣的程序調(diào)用crypt〔〕，當使用后門口令是產(chǎn)生一個shell。因此，即使管理員用MD5檢查login程序，仍然能產(chǎn)生一個后門函數(shù)。管理員有一種方法可以找到后門，就是靜態(tài)編連MD5校驗程序然后運行。11.開辟后門校驗和時間戳后門早期，許多攻擊者用自己的trojan程序替代二進制文件。系統(tǒng)管理員校驗及程序區(qū)分二進制文件是否被改變。后來，攻擊者開發(fā)了使torjan文件和原文件時間戳同步的新技術(shù)。它是這樣實現(xiàn)的：先將系統(tǒng)時鐘撥回到原文件時間，然后調(diào)整trojan文件的時間為系統(tǒng)時間。一旦二進制trojan文件與原文件精確同步，就可以把系統(tǒng)設回當前時間。sum程序基于CRC校驗，很容易騙過。攻擊者可以將trojan的校驗和調(diào)整為原文件的校驗和。12.開辟后門效勞后門幾乎所有的網(wǎng)絡效勞都曾被攻擊者做過后門，finger，rsh，rlogin，F(xiàn)TP，甚至inetd等的后門版本隨處可見。有的只是連接到某個TCP端口的shell，通過后門口令就能獲取訪問權(quán)限。這些程序有時用uucp這樣不常用的效勞，或者參加到inetd.conf作為一個新的效勞。13.開辟后門Cronjob后門UNIX上的cronjob可以按時間表調(diào)度特定程序的運行。攻擊者可以參加后門shell程序使它在1AM到2AM之間運行，那么每晚有一個小時可以獲得訪問權(quán)限。攻擊者可以查看cronjob中經(jīng)常運行的合法程序，同時置入后門。根用戶的crontab文件放在/var/spool/root中，其格式如下：〔1〕〔2〕〔3〕〔4〕〔5〕〔6〕00**3/usr/bin/updatedb以上內(nèi)容設置/usr/bin/updatedb程序于每個星期三0：0運行。14.開辟后門內(nèi)核后門

內(nèi)核是UNIX等各種操作系統(tǒng)工作的核心，內(nèi)核中嵌入后門程序最難被管理員發(fā)現(xiàn)。boot塊后門

在PC世界里，通過殺毒軟件檢查引導區(qū)的完整性發(fā)現(xiàn)病毒。在UNIX中，多數(shù)管理員沒有檢查引導區(qū)的軟件，所以攻擊者常常將后門程序留在引導區(qū)。15.開辟后門隱匿進程后門攻擊者希望隱匿他們運行的程序，通常是口令破解程序和監(jiān)聽程序〔sniffer〕。較常用的方法是：編寫程序時修改自己的argv[]使它看起來像其他進程名；將sniffer程序改名為in.syslog在執(zhí)行。因此當管理員用“ps〞檢查運行進程時，出現(xiàn)的是標準效勞名。修改庫函數(shù)使“ps〞不能顯示所有的進程。將一個后門或程序嵌入中斷驅(qū)動程序使它不會在進程表中顯示。16.開辟后門網(wǎng)絡通信后門攻擊者不僅希望隱匿他們留在系統(tǒng)里的痕跡，而且也希望要隱匿他們的網(wǎng)絡通信。有許多網(wǎng)絡后門程序允許攻擊者建立某個端口號，并不用通過普通效勞就能實現(xiàn)訪問。因為這是通過非標準網(wǎng)絡端口進行的，管理員可能無視攻擊者的蹤跡。這種后門通常使用TCP，UDP和ICMP，但也有可能是其他類型的報文。17.開辟后門

TCPshell后門

攻擊者可能在放火墻沒有阻塞的高位TCP端口建立這些TCPshell后門。許多情況下，他們用口令進行保護以免管理員連接上后立即看到是shell訪問。管理員可以用netstat命令查看當前的連接狀態(tài)，哪些端口在偵聽，以及目前的連接狀態(tài)等。通常這些后門可以讓攻擊者躲過TCPwrapper檢查。這些后門可以放在SMTP端口，因為許多防火墻允許E-mail通過。

18.開辟后門

UDPshell后門管理員經(jīng)常注意TCP連接并觀察其異常情況，而UDPshell后門沒有這樣的連接，所以Netstat不能顯示攻擊者的訪問痕跡，許多放火墻設置成允許類似DNS的UDP報文的通行，通常攻擊者將UDPshell放置在這個端口，通過它穿越防火墻。19.開辟后門ICMPshell后門ping是通過發(fā)送和接受ICMP包檢測機器活動狀態(tài)的通用方法之一。許多防火墻允許外界ping它內(nèi)部的機器。攻擊者可以將數(shù)據(jù)放進ping的ICMP包，在ping通過的機器間形成一個Shell通道。管理員也許會注意到ping包風暴，但除非他查看包內(nèi)數(shù)據(jù)，否那么攻擊者痕跡不會暴露。20.手工克隆帳號后門把管理員權(quán)限復制給一個普通帳號例如將系統(tǒng)內(nèi)建guest帳號變換成管理員權(quán)限帳號可以使用權(quán)限提升工具PSU.exe來實現(xiàn)，修改注冊表SAMPSU可以捕獲system系統(tǒng)進程，并以該權(quán)限修改SAM21.制造Unicode漏洞后門替換目標效勞器IIS效勞文件，制造unicode漏洞在IISWeb文檔根目錄中放入cmd.exe，并將其隱藏22.制造.idq漏洞后門將idq.dll放入目標IIS效勞器Scripts目錄中，并將其隱藏在本地使用ispc與目標效勞器建立連接： ispc目標IP/scripts/idq.dll如果連接成功，就會在本地得到：C:\winnt\system32>遠程效勞器的Shell23.Winshell后門Windows平臺上精巧的telnet效勞器，主程序5k左右，可以完全獨立運行而不依賴任何系統(tǒng)動態(tài)鏈接庫支持定制端口、密碼保護、多用戶登陸、NT效勞方式、遠程文件下載、信息自定義及獨特的反DDOS功能24.Wollf木馬后門一款經(jīng)典的木馬程序，功能強大，幾乎就是一個小型的操作系統(tǒng)擁有自己的專用命令、擴展了Telnet效勞、集成文件傳輸效勞、FTP效勞、鍵盤記錄、Sniffer、端口轉(zhuǎn)發(fā)等功能，還可以實現(xiàn)反向連接可以隨系統(tǒng)啟動，或作為普通程序啟動25.SQL后門即使入侵者掌握了目標效勞器的SQL效勞SA口令，通常也不能從外部直接連接訪問目標效勞器，因為防火墻上一般會過濾掉對1433端口的訪問請求使用工具SqlRootKit.as