欢迎来到天天文库
浏览记录
ID:23552488
大小:169.84 KB
页数:15页
时间:2018-11-09
《UNIX后门检测白皮书.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、目录:一。常用账号后门二。Rhosts++后门三。二进制木马后门四。Daemon服务后门五。Cronjob后门六。动态库后门七。LKM后门八。Sniffer后门一。常用账号后门检查如下账号的口令是否被改变用作后门:bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,gamesgopher,ftp,nobody,xfs,named,gdm,sys,nuucp,listen特别是对上面的这些账号检查/etc/passwd,user_name:passwd:uid:gid:note
2、:home_directory:shell查看shell字段是否被改为诸如/bin/sh之类的。二。Rhosts++后门检查/etc/hosts.equiv和每个用户的$HOME/rhosts,查看是否增加了"信任"主机。三。二进制木马后门二进制木马后门是在系统的二进制可执行程序中置入后门,方法是把这些可执行程序替换成特洛伊(trojan)木马程序。这或者是通过篡改源代码重新编译来实现,或者是借助工具直接向程序文件中加入代码来实现。对这类后门检查的第一步是检查时间戳与校验和。如果已经对文件用诸如tripwire这类工具作了时间
3、戳与校验和记录,检查时间戳与校验和。如果没有,用"ls-l"和"stat"检查时间戳,查看是否有明显不符的。如果发现不符,极可能是被替换成特洛伊木马置入后门了,仔细作进一步查证。对于网络应用程序,运行它,用netstat和lsof命令查看有没有什么不正常的行为。尤其是查看有没有什么不正常的端口被打开,有没有什么不正常的文件被打开。详细情况参看"daemon服务后门"一节相关内容。如果有这些异常出现,极可能作了后门,作进一步查证。作进一步查证时,第一步是用strings命令查找程序中有没有异常字符串。第二步,如有必要,需要对二进
4、制代码与干净程序进行比较。"动态库后门"一节中给了一个shell脚本,用来做这件事。对这类后门,重点进行检查的是这样一些程序:1。Linux系统:in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.ntalkd、in.dtalkd、ipop2d、ipop3d、imapd、uucico、in.tftpd、bootpd、in.fingerd、in.cfingerd、in.identd、in.comsatinit.d目录中下面这些脚本调用的二进制可执行程序:anac
5、ronapmdarpwatchatdcrondfunctionsgpmhalthttpdhttpd.origidentdinetipchainsipsecirdakdcrotatekeytablekillallkudzulinuxconflpdnamednetfsnetworknfsnfslockpcmciaportmaprandomrstatdrusersdrwalldrwhodsendmailsinglesnmpdsyslogxfsypbindyppasswddypserv2。Solaris系统:in.ftpd、in.te
6、lnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、ufsd、fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、in.comsatinit.d目录中下面这些脚本调用的二进
7、制可执行程序:ANNOUNCEMOUNTFSYSPRESERVERMTMPFILESab2mgrafbinitauditautofsautoinstallbuildmnttabcachefs.daemoncachefs.rootcacheoscacheos.finishcrondevlinksdrvconfigdtlogininetinitinetsvcinit.dmiinit.snmpdxinitpcmciakeymaplpmkdtabnfs.clientnfs.servernscdpcmciapowerrootusrrpc
8、savecoresendmailspcstandardmountssysetupsysid.netsysid.syssyslogufs_quotautmpdvolmgtxntpd除了上面所列的,还要注意下面这些后门:1。login后门:如果"strings/bin/login
此文档下载收益归作者所有