返回
【精品】Unix平台后门检查、日志审计手册

【精品】Unix平台后门检查、日志审计手册

ID:46510306

大小:58.50 KB

页数:10页

时间:2019-11-24

【精品】Unix平台后门检查、日志审计手册_第1页
【精品】Unix平台后门检查、日志审计手册_第2页
【精品】Unix平台后门检查、日志审计手册_第3页
【精品】Unix平台后门检查、日志审计手册_第4页
【精品】Unix平台后门检查、日志审计手册_第5页
资源描述:

《【精品】Unix平台后门检查、日志审计手册》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、UNIX平台后门检查、日志审计手册二零零六年四月后门简介3Unix平台常用后门技术3增加超级用户账号3破解、嗅探用户密码3放置SUIDShell3rhosts++3利用系统服务程序3TCP/UDP/ICMPShell4Crontab定时任务4共享库注射(injectso)4工具包、rootkit5可加载内核模块(LKM)5后门的检测5检查系统密码文件5检查系统进程6检查系统守护进程6检查网络连接和监听端口6检查系统日志6检查系统中的core文件7检查文件系统中的S位文件7检查系统文件完整性7检査内核模块(LKM)后门8Unix系统H志审十1•功能8连接时间H志8Accton记录进程统

2、计8Syslogd记录错误日志9本地口志记录方式9远程H志记录方式10后门简介入侵者完全控制系统后,为方便卜-次进入而采用的一种技术手段。一般通过修改系统配置文件和安装第三方后门工具來实现。具有隐蔽性,能绕开系统日志,不易被系统管理员发现等特点。Unix平台常用后门技术增加超级用户账号#echo〃attacker:x:0:0::/:/bin/bash/z>>/etc/passwd#echo"attacker::-1:-1:-1:-1:-1:-1:500〃>>/etc/shadow如果系统不允许uid=0的用户远程登录,还需要增加一个普通用户账号。破解、嗅探用户密码获得shadow文件

3、后,用JohntheRipperX具破解薄弱的用户密码。安装sniffit等嗅探工具,监听telnet、ftp等端口,收集用户密码。在switch环境下通过中间人(Man-in-The-Middle)攻击也可以嗅探到数据包。放置SUIDShell#cp/bin/bash/dev/.rootshell隐藏一个bash的副本#chmodu+s/dev/.rootshell给予这个副木S位权限普通用户在木机运行/dev/,rootshell,即可获得一个root权限的shell。rhosts++#echo"++〃>/.rhosts#rsh-1rootvictim,comcsh-i远程可以得

4、到一个root权限的shello利用系统服务程序修改/etc/inetd.conf如添加:udaytimestreamtcpnowait/bin/shsh-i"用trojan程序替换in.telnctd>in.rcxecd等inted的服务程序伪造/bin/login程序,记录登陆的用户名和密码,并设定某些关键字饶过系统验证;TCP/UDP/ICMPShellBindShcll,大部分是基于TCP/UDP协议的网络服务程序,在高端口监听,很容易被发现。PingBackdoor,通过ICMP包激活后门,形成一个Shell通道。后门服务端程序伪装成正常的系统程序运行,当收到特定的icmp

5、包时就激活一个root权限的shell给入侵者。TCPACK数据包后门,能够穿越防火墙。原理同PingBackdoor,当入侵者发送特定ack包通过防火墙时,后门程序就会反连出一个root权限的shell,从而绕过防火墙保护。Crontab定时任务通过Crontab程序调度已安装的后门程序定时运行,一般在深夜时段,是系统管理员不在线的时间。定时执行脚本很容易被入侵考嵌入后门程序。共享库注射(injectso)在共享库中嵌入后门函数使用后门口令激活Shell,获得权限能够躲避系统管理员对二进制文件木身的校验。我们可以把实际操作分解成四步来分析:1、调用ptrace()函数,关联系统进程

6、;2、查找di_open()函数,此函数用来调用共享库;3、修改dl_opcn()的函数EIP值,执行替换后的函数;4、调用ptrace()函数,脱离系统进程;通过注射操作使我们的.so共享库在指定的进程中被装载,这样再配合上函数重定向或其它技术,就可以捕获或改变目标进程的行为,可以做非常多的工作。同其它inject技术相比,injectso的一些优点是:1.简单,仅仅通过C代码就可以完成所有的工作;2.扩展性好,在基础代码完成Z后,如果要对程序功能进行增加、修改,仅需改动.so共享库即可;3.对目标进程进行注射Z后,不需要留下磁盘文件,使用的程序及共享库都可以删除;4.我们可以使用

7、它完成很多T作,例如:运行期补丁、后门程序等;5.冃标服务不需要重新启动;6.无须改动二进制文件;工具包.rootkit包含一系列系统及后门工具:清除日志中的登录记录伪装MD5校验值替换nctstat>ps等常用工具后门登录程序如login等Unix平台的rookit大多针对较低发行版本,此类工具易于安装和使用,使用绝对干净的系统命令很容易发现并清除。随着LKM技术的出现后门技术重心开始转移到LKM上了。可加载内核模块(LKM)LKM:LoadableKe

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。