在一般的Linux主机中做后门的方法,归纳起来可以分为以下14类。
1. 破解Linux计算机账号密码。
2. .rhosts文件使特定用户从特定主机登录不需要密码。
3. 以具有跟源文件一样时戳的特洛伊木马程序版本来代替二进制程序。
4. 替换login程序,提供特殊口令隐身登录。
5. 替换Telnetd。
6. 替换网络服务。
7. Cronjob定时运行后门,入侵者每天在该时刻可以访问。
8. 替换共享函数库。
9. 替换内核。
10. 在文件系统中隐藏后门。
11. 在启动区内隐藏后门。
12. 隐藏进程。
13. IP数据包后门。
14. 在.forward文件中放置命令。
事实上,目前已知的后门基本上都不超出上述分类,分析以上各类后门可知,后门可以分为永久性后门和一次性后门。永久性后门是指系统重启后还能继续起作用的后门,一次性后门是指仅在本次运行时有效、重启后就无效的后门。要设置永久性后门,一定要对重要的文件进行改动,而一次性后门很可能是对重要进程进行改动。