网络后门面面观

你是否受到黑客攻击而愤愤不平？每当防火墙警报响起时，你是选择沉默还是给予适当的警告？该出手时就出手，借用一些技巧给对方一个善意的“下马威”吧！

　　信使服务

　　防火墙检测到系统受到攻击时，一般会报警或记录下相应的数据。比如常用的天网防火墙，当它检测到系统遭受攻击时，系统托盘处的天网图标就会出现一个闪烁的警报信号，双击该图标，从弹出的窗口中，你可以得到攻击者的来源、试图从端口进行“突破”等信息（如图1）。
　　

图1

　　知道了攻击者的IP地址后，我们可以尝试使用信使服务给对方一个消息，可以是好言相劝哦！Windows 2000/XP默认情况下是将信使服务开着的，可以收到别人发送的消息。假设我们要给攻击者发送信使消息，可以打开“命令提示符”窗口，键入“net send 218.51.***.*** 警告消息”。如果要输入的文字消息比较多，在Windows 2000中还有另外一种法，打开[控制面板]→[管理工具]→[组件服务]，用鼠标右键单击“本地计算机上的服务”，选择弹出菜单中的[所有任务]→[发送控制台消息]，输入消息内容后，点击[添加]按钮，输入接收方的IP地址，最后点击[发送]按钮即可。
　
　　注意：如果对方没有开启信使服务，或者使用了不支持信使服务的系统（比如Windows 98），那么发送信息时你会收到出错的提示。

　　情报发往何处？

　　对于喜欢软件尝鲜的朋友，上了宽带后一定乐此不疲地下载试用各种软件，然而有些软件就像“披着羊皮的狼”，它们可能在暗中窃取你的秘密，然后发送到主人的邮箱中。对于一个自己不放心的软件，要得知它们在网络的一举一动，关键就是将它们活动的数据包记录下来，尝试找到收集“情报”的E-mail地址后，你就可以去封E-mail了解情况了！

　　目前能截获并记录网络数据包的软件比较多，笔者推荐采用KFW，这是一个防火墙软件，它最具特色的功能就是能截获指定应用程序的网络数据包，将发送和接收的数据一一记录下来，您可以进行保存、分析，掌握网络软件背后的一举一动。

　　KFW的下载地址：http://www8.pconline.com.cn/download/swdetail.phtml?id=7753，安装后重新启动就可以使用了。不同的网络防火墙一起使用时，彼此之间可能会有所冲突，笔者建议你使用KFW时关闭掉其他网络防火墙。

从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的：即使管理员改变密码，仍然能再次侵入，并且使再次侵入被发现的可能性减至最低。

　　大多数后门是设法躲过日志，即使入侵者正在使用系统也无法显示他已在线。有时如果入侵者认为管理员可能会检测到已经安装的后门，他们使会以系统的脆弱性作为唯一后后门，反复攻破机器。

　　我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。

　　1、Rhosts++后门

　　在连网的Unix机器中，像Rsh和Rlogin这样的服务是基于rhosts的，使用简单的认证方法，用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入"++"，就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时，入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh，团为它通常缺少日志能力。许多管理员经常检查“++”．所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名，从而不易被发现。

　　2、校验及时间戳后门

　　早期，许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变，如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步，就可以把系统时间设回当前时间。sum程序基于crc校验，很容易被骗过。

　　3、Login 后门

　　unix里，Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用“strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。

　　4、服务后门

　　几乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell，通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

　　5、Cronjob后门

　　Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序，使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入后门。

　　6、库后门

　　几乎所有的Unix系统都使用共享库，一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt()，当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序，仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时，校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序，然后运行。静态连接程序不会使用特洛伊木马共享库。