返回
UNIX后门检测白皮书.pdf

UNIX后门检测白皮书.pdf

ID:23552488

大小:169.84 KB

页数:15页

时间:2018-11-09

UNIX后门检测白皮书.pdf_第1页
UNIX后门检测白皮书.pdf_第2页
UNIX后门检测白皮书.pdf_第3页
UNIX后门检测白皮书.pdf_第4页
UNIX后门检测白皮书.pdf_第5页
资源描述:

《UNIX后门检测白皮书.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、目录:一。常用账号后门二。Rhosts++后门三。二进制木马后门四。Daemon服务后门五。Cronjob后门六。动态库后门七。LKM后门八。Sniffer后门一。常用账号后门检查如下账号的口令是否被改变用作后门:bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,gamesgopher,ftp,nobody,xfs,named,gdm,sys,nuucp,listen特别是对上面的这些账号检查/etc/passwd,user_name:passwd:uid:gid:note

2、:home_directory:shell查看shell字段是否被改为诸如/bin/sh之类的。二。Rhosts++后门检查/etc/hosts.equiv和每个用户的$HOME/rhosts,查看是否增加了"信任"主机。三。二进制木马后门二进制木马后门是在系统的二进制可执行程序中置入后门,方法是把这些可执行程序替换成特洛伊(trojan)木马程序。这或者是通过篡改源代码重新编译来实现,或者是借助工具直接向程序文件中加入代码来实现。对这类后门检查的第一步是检查时间戳与校验和。如果已经对文件用诸如tripwire这类工具作了时间

3、戳与校验和记录,检查时间戳与校验和。如果没有,用"ls-l"和"stat"检查时间戳,查看是否有明显不符的。如果发现不符,极可能是被替换成特洛伊木马置入后门了,仔细作进一步查证。对于网络应用程序,运行它,用netstat和lsof命令查看有没有什么不正常的行为。尤其是查看有没有什么不正常的端口被打开,有没有什么不正常的文件被打开。详细情况参看"daemon服务后门"一节相关内容。如果有这些异常出现,极可能作了后门,作进一步查证。作进一步查证时,第一步是用strings命令查找程序中有没有异常字符串。第二步,如有必要,需要对二进

4、制代码与干净程序进行比较。"动态库后门"一节中给了一个shell脚本,用来做这件事。对这类后门,重点进行检查的是这样一些程序:1。Linux系统:in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.ntalkd、in.dtalkd、ipop2d、ipop3d、imapd、uucico、in.tftpd、bootpd、in.fingerd、in.cfingerd、in.identd、in.comsatinit.d目录中下面这些脚本调用的二进制可执行程序:anac

5、ronapmdarpwatchatdcrondfunctionsgpmhalthttpdhttpd.origidentdinetipchainsipsecirdakdcrotatekeytablekillallkudzulinuxconflpdnamednetfsnetworknfsnfslockpcmciaportmaprandomrstatdrusersdrwalldrwhodsendmailsinglesnmpdsyslogxfsypbindyppasswddypserv2。Solaris系统:in.ftpd、in.te

6、lnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、ufsd、fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、in.comsatinit.d目录中下面这些脚本调用的二进

7、制可执行程序:ANNOUNCEMOUNTFSYSPRESERVERMTMPFILESab2mgrafbinitauditautofsautoinstallbuildmnttabcachefs.daemoncachefs.rootcacheoscacheos.finishcrondevlinksdrvconfigdtlogininetinitinetsvcinit.dmiinit.snmpdxinitpcmciakeymaplpmkdtabnfs.clientnfs.servernscdpcmciapowerrootusrrpc

8、savecoresendmailspcstandardmountssysetupsysid.netsysid.syssyslogufs_quotautmpdvolmgtxntpd除了上面所列的,还要注意下面这些后门:1。login后门:如果"strings/bin/login

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。