后门 (第2/2页)

管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

    Cronjob后门

    Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入后门。

    库后门

    几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了crypt()。当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题：一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。

    内核后门

    内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态连接多不能识别。一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的后门程序还不是随手可得，每人知道它事实上传播有多广。

    文件系统后门

    入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，"du"，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞：以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。

    Boot块后门

    在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。

    TCPShell后门

    入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCPShell后门.许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉。通常这些后门可以让入侵者躲过TCPWrapper技术。这些后门可以放在**TP端口，许多防火墙允许e－mail通行的.

    UDPShell后门

    管理员经常注意TCP连接并观察其怪异情况，而UDPShell后门没有这样的连接，所以netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDPShell放置在这个端口，允许穿越防火墙。

    ICMPShell后门

    Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

    加密连接

    管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密后，就不可能被判定两台机器间的传输内容了。