UNIX操作系统后门解析.pdf

《UNIX操作系统后门解析.pdf》由会员分享，可在线阅读，更多相关《UNIX操作系统后门解析.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第!卷第#期云南农业大学学报$%&!(%#)*年+月,%-./0&%1 2-/0/34.56-&7-.0&8/59:.;57)!；#%云南大学社会科学处，云南 昆明+)?!）摘要：从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。笔者将讨论常见的 8(A 后门及其检测方法。当管理员懂得一旦入侵者入侵后要制止他们是何等之难以后，将会更主动地去预防第!次的入侵。本文试图涉及大量流行的初级和高级入侵者制作后门的手法，但也不可能覆盖到所有可能的方法。关键词：计算机；入侵者；8(A 操作系统；后门；系统安全中图分类号：BC*!+=!；BC*?*=)文献标识码：3文章编号：!)D

2、 E*?)A（#)*）)#E)!F E)D!#$&()*+,-./01&,)2 3+45 677*8.+91&-&!#$%!&!，()!*+#（!=G%HI-7:.G:/7:.，J-/H5/4 8/59:.;57%1 K65:/6:L B:6M/%&%4)!，GM5/0；#=N595;5%/%1 K%650&K65:/6:;，2-/0/8/59:.;57)?!，GM5/0）8:&,*+4,：BM:6%HI-7:.5/7.-O:.%1 1.%H:0.&;704:P:45/;，0/O 7M:O:9:&%I M0.O 7%H0Q:7%.:7-./7:6MR/%&%4%.P06Q O%.=G%HH%/

3、P06Q O%.0/O M5;6M:6Q%-7 H:7M%O S5&P:O5;6-;:O 5/7M5;7:T7=317:.7M:I:.;%/5/0;5/4&:O0/%7 5/90O5/4 SM:/0OH5/5;7.07%.-/O:.;70/O;S5&I.:9:/7 7M:H 017:.5/90O5/4 5;M%S 5;M0.O 7%H%.:5/5750759:&5/7.-O:.15.;7 75H:=BM5;7:T7 5;077:HI7:O 7%5/9%&9:7M:;Q5&7M07 0&0.4:/-HP:.%1I%I-&0.:&:H:/70.0/O;:/5%.5/7.-O:.H0O:7M:P06

4、Q O%.，P-7 0&;%60/%7 6%9:.:O 7%0&I%;5P&:H:7M%O=;)1 7*=&：6%HI-7:.；5/7.-O:.；8(AU;%I:.075/4;7:H；P06QO%.；;7:H;:6-.578(A 是当代计算机操作系统的一个成功典范。早期的 8(A 系统被主要用于实验室的科研和大学的教育。近年来，随着互联网的发展，它的装机量更是可观，而且凡是重要的站点，几乎都把8(A 当作首先的 VWX 服务器操作系统。然而使用的人越多，被发现的系统安全性漏洞也越多。8(A 是一个多任务多用户的网络操作系统。具有先进的安全特性，包括独立的访问控制，加密和认证。多任务意味着每一个

5、用户在同一个时刻可以运行多个不同的程序。多用户意味着系统可以让许多不同的人同时使用同一台机器。8(A 有一个完整的安全系统，用以控制用户对文件的存取，控制系统资源的使用。不幸的是，当系统错误地配置，或使用了有问题的软件时，这些安全机制就不能很好的工作。几乎所有近年被发现的安全漏洞都是由上述原因引起的，而非操作系统的内部设计引起的。即使管理员通过改变所有密码之类的方法来提高安全性，仍然能被再次侵入，并使再次侵入被发现的可能性降至最低。大多数后门会设法躲过日志，大多数情况下即使入侵者正在使用系统也不显示他已在线。如果入侵者认为管理员可能会检测到已经安装的后门，他们会以系统的脆弱性作为唯一的后门，既

6、而反复攻破机器。这也不会引起管理员的注意。所以一台机器的脆弱性!收稿日期：#)#E!#E)D作者简介：江嘉（!?+E），男，四川省人，实验师，主要从事计算机网络安全研究。万方数据是它唯一未被注意的后门。!系统现存后门!密码破解后门这是入侵者使用的最早也是最老的方法，它不仅可以获得对!#$机器的访问，而且可以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，那些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的而且未使用的帐号，然后将口令改得难些。当管理员寻找口令薄弱的帐号时，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。!#!

7、#%&()(*后门在联网的!+,-机器中，象%(&和%./#这样的服务是基于 0&()(文件里的主机名而使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的0&()(文件中输入“*”，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当&12目录通过+34 向外共享时，入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用%(&，因为它通常缺少日志能力。许多管理员经常检查“*”，所以入侵者实际上更多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。!$!$校验和时间戳后门早期，许多入侵者用自己的)056 程序替代二进制文件。

8、系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否已被改变，如!+,-里的(71 程序。入侵者又发展了使)056 文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整)056 文件的时间为系统时间。一旦二进制)056文件与 原来的精确同步，就可以把系统时间设回当前时间。(71 程序是基于 8%8 校验，很容易 骗过。入侵者设计出了可以将)056 的校验和调整到原文件的校验和的程序。9:;是被大多数人推荐的。!%!%的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户输入后门口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者

9、进入任何帐号，甚至 0)?由于后门口令是在用户真实登录并被日志记录到 7)1 和 A)1 前产生一个访问的，所以入侵者可以登录获取(&2.，却不会暴露该帐号。管理员注意到这种后门后，便 用“()0#/(”命令搜索./#程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就会加密或者更好地隐藏口令，使()0#/(命令失效。所以更多的管理员是用 9:;校验和检测这种后门的。!&!&B2.2)C 后门当用户)2.2)到系统，监听端口的#2)C 服务接受连接随后递给#?)2.2)C，由它运行./#?一些入侵者知道管理员会检查./#是否被修改，就着手修改#?)2.2)C?在#?)2.2)C 内部有一

10、些对用户信息的检验，比如用户使用了何种终端。典型的终端 设置是-)201 或者 DBEFF=入侵者可以做这样的后门，当终端设置为“.2)12#”时产生一个不要任何验证的(&2.=入侵者已对某些服务作了后门，对来自特定源端口的连接产生一个(&2.=!服务后门几乎所有网络服务都曾被入侵者作过后门。G#/20，0(&，02$2，0./#，G)，甚至#2)C 等等。有的只是连接到某个 B8H 端口的(&2.，通过后门口令就能获取访问。这些程序有时用 7 这样不用的服务，或者被加入#2)C?G 作为一个新的服务。管理员应该非常注意那些服务正在运行，并用9:;对原服务程序做校验。!(!(805I 后门!+

11、,-上的 805I 可以按时间表调度特定程序的运行。入侵者可以加入后门(&2.程序使它在EJ9 到 KJ9 之间运行，那么每晚有 E&可以获得访问。也可以查看 05I 中经常运行的合法程序，同时置入后门。!)!)库后门几乎所有的!+,-系统使用共享库。共享库用于相同函数的重用而减少代码长度。一些入侵者在象 0L)?和M0L)?这些函数里作了后门。象./#?这样的程序调用了 0L)（），当使用后门口令时产生一个(&2.=因此，即使管理员用 9:;检查./#程序，仍然能产生一个后门函数=而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题：一些管理员对所有东西NOE云南农业大学学

12、报第 EP 卷万方数据多作了!#校验。有一种办法是入侵者对$%&（）和文件访问函数做后门。后门，函数读原文件但执行()$*+后门程序。所以当!#读这些文件时，校验和一切正常。但当系统运行时将执行()$*+版本。即使()$*+库本身也可躲过!#校验。对于管理员来说有一种方法可以找到后门，就是静态编连!#校验程序然后运行。静态连接程序不会使用()$*+共享库。!#!#内核后门内核是,-./工作的核心。用于库躲过!#校验的方法同样适用于内核级别，甚至连静态连接都不能识别。一个后门做得很好的内核是最难被管理员查找的，所幸的是内核的后门程序还不是随手可得，没人知道它事实上传播有多广。!$!$文件系统后门

13、入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现。入侵者的文章通常是包括&0%1$2(脚本工具、后门集、3244&)日志、&5+21 的备分、原代码等等。有时为了防止管理员发现这么大的文件，入侵者需要修补“13”，“67”，“4389”以隐匿特定的目录和文件。在很低的级别中，入侵者做这样的漏洞：以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说，很难发现这些“坏扇区”里的文件系统，而它又确实存在。!:$(块后门在;使它看起来象其他进程名。可以将 3244&)程序改名类似 2?331$=再执行A 因此当管理员用“%3

14、”检查运行进程时，出现的是标准服务名。可以修改库函数致使“%3”不能显示所有进程。可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是+5$6?(+)?=B：C(%：D D3(+)A2255A 3%EA 37D F 5+21123(DE7=()+GAHDIJJJAC(51也可以修改内核隐匿进程。最流行的后门安装包之一是 K$(92(A 它很容易用 L&E 搜索器找到。从 K$(92(的 KMN!M 里，可以找到一些典型的文件：BO P)&5$&3&()2&3 4)$5 7(5%，L(5%，+6 1+3(1$=AM3 P)$93(+)Q3&(C&)&(3244&

15、)4$)37R E+3&6 9&)&13AS20 P()($4+9&8C&893753，23(+11 L2(C 3+5&6+(&3D%&)53D7D=AT1 P E&8$5&)$(2+5+=28%+33L$)6 3&($1$=2A.8 P 5$6242&6 248$42=($)&5$&;KU!.T&A13#P C26&3 8&)(+2 421&3+6 62)&8($)2&3 4)$5 E&2=123(&6A!&!&!网络通行后门入侵者不仅想隐匿在系统里的痕迹，而且也要隐匿他们的网络通行。这些网络通行后门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服

16、务就能实现访问。因为这是通过非标准网络端口的通行，管理员可能忽视入侵者的足迹。这种后门通常使用 X;，,;和.!;，但也可能是其他类型报文。!&!(!&!(X;TC&11 后门入侵者可能在防火墙没有阻塞的高位 X;端口，建立这些 X;TC&11 后门。许多情况下，他们用口令进行保护以免管理员连接上后立即看到是3C&11 访问。管理员可以用&(3(+(命令查看当前的连接状态，哪些端口在侦听目前连接的来龙去脉。通常这些后门可以让入侵者躲过 X;Y)+%&)技术。这些后门可以放在 T!X;端口，许多防火墙允许&P 5+21 通行的。!)!),;TC&11 后门管理员经常注意 X;连接并观察其怪异情况

17、，而,;TC&11 后门没有这样的连接，所以&(V3(+(不能显示入侵者的访问痕迹。许多防火墙设置成允许类似-T 的,;报文的通行。通常入侵者将,;TC&11 放置在这个端口，允许穿越防火墙。!*!*.!;TC&11 后门JJH第 O 期江嘉，等：,-./操作系统后门解析万方数据!#$是通过发送和接受%&!包检测机器活动状态的通用办法之一。许多防火墙允许外界!#$它内部的机器。入侵者可以放数据入!#$的%&!包，在!#$的机器间形成一个()*+通道。管理员也许会注意到!#$包暴风，但除了他查看包内数据，否者入侵者不会暴露。!讨论首先要做的是积极准确的估计你的网络的脆弱性，从而判定漏洞的存在并且

18、修复它。许多商业工具都可用来帮助扫描和查核网络及系统的漏洞。如果及时安装提供商的安全补丁的话，将大大提高安全性。一个系统（安全）扫描的一个重要因素是,-校验和基准线。,-基准线是在黑客入侵前由干净系统建立。一旦黑客入侵并建立了后门再建立基准线，那么后门也被合并进去了。一些公司被入侵且系统被安置后门长达几个月。所有的系统备份都包含了后门。当公司发现有黑客并求助备份祛除后门时，一切努力是徒劳的，因为他们恢复系统的同时也恢复了后门。应该在入侵发生前作好基准线的建立。随着各种组织的上网和允许对自己某些机器的连接，入侵检测正变的越来越重要。以前多数入侵检测技术是基于日志型的。最新的入侵检测系统技术（%,

19、.）是基于实时侦听和网络通行安全分析的。最新的%,.技术可以浏览,/.的 0,!报文，并判断是否符合,/.协议请求。如果数据不符合协议，就发出警告信号并抓取数据进行进一步分析。同样的原则可以运用到%&!包，检查数据是否符合协议要求，或者是否装载加密()*+会话。由于安全领域变化之快，每天有新的漏洞被公布，而入侵者正不断设计新的攻击和安置后门技术，高枕无忧的安全技术是没有的。请记住没有简单的防御，只有不懈的努力！参考文献1 安尼姆斯2 最高安全机密 2 朱鲁华译2 北京：机械工业出版社，344353 安德森2 0/%6 技术内幕 2 周靖译2 北京：机械工业出版社，344327 阎雪2 黑客就这

20、么几招 2 北京：万方数据电子出版社，344428 匿名2 网络安全技术内幕 2 前导工作室译2 北京：机械工业出版社，19992-:;?=2 防火墙原理与实施 2 李之棠译2 北京：电子工业出版社，34412 赵斌斌2 网络安全与黑客工具防范 2 北京：科技出版社，34412A B*CC/D#E*2%#FCGHIEFG#FG/*FJGCK#$，7 CH=HFG#，1992LA1云南农业大学学报第 1L 卷万方数据UNIX操作系统后门解析UNIX操作系统后门解析作者：江嘉，刘娟作者单位：江嘉(昆明理工大学计算中心,云南,昆明,650051)，刘娟(云南大学社会科学处,云南,昆明,650091)刊名：云南农业大学学报英文刊名：JOURNAL OF YUNNAN AGRICULTURAL UNIVERSITY年，卷(期)：2003,18(2)参考文献(7条)参考文献(7条)1.安尼姆斯;朱鲁华 最高安全机密 20022.Berr Nance Introduction to Networking 3 rd Edition 19963.赵斌斌 网络安全与黑客工具防范 20014.OGLETREE T;李之棠 防火墙原理与实施3 20015.匿名;前导工作室 网络安全技术内幕 19996.阎雪 黑客就这么几招 20007.安德森;周靖 UNIX技术内幕3 2002 本文链接：http:/