网络后门面面观(2)

　　大多数后门是设法躲过日志，即使入侵者正在使用系统也无法显示他已在线。有时如果入侵者认为管理员可能会检测到已经安装的后门，他们使会以系统的脆弱性作为唯一后后门，反复攻破机器。

　　我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。

　　1、Rhosts++后门

　　在连网的Unix机器中，像Rsh和Rlogin这样的服务是基于rhosts的，使用简单的认证方法，用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入"++"，就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时，入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh，团为它通常缺少日志能力。许多管理员经常检查“++”．所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名，从而不易被发现。

　　2、校验及时间戳后门

　　早期，许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变，如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步，就可以把系统时间设回当前时间。sum程序基于crc校验，很容易被骗过。

　　3、Login 后门

　　unix里，Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用“strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。

　　4、服务后门

　　几乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell，通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

　　5、Cronjob后门

　　Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序，使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入后门。