일반 해커들은 시스템에 침입한 후 한 번 이상 그 시스템에 진입한다. 다음에 다시 시스템에 들어갈 때 편의를 위해 해커는 뒷문을 남기는데, 트로이 목마는 뒷문의 가장 좋은 예이다. (윌리엄 셰익스피어, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마) 유닉스에서 뒷문을 남기는 방법에는 여러 가지가 있습니다. 다음은 네트워크 관리자가 방어를 참조할 수 있도록 몇 가지 일반적인 뒷문을 소개합니다.
암호 해독 백도어
침입자가 사용하는 가장 오래되고 오래된 방법으로 유닉스 시스템에 액세스할 수 있을 뿐만 아니라 암호를 해독하여 뒷문을 만들 수 있습니다. 이것이 바로 구령이 약한 계정을 해독하는 것이다. 앞으로 관리자가 침입자의 현재 계정을 봉인하더라도 이러한 새 계정은 여전히 재침입의 뒷문일 수 있습니다. 대부분의 경우 침입자는 비밀번호가 약한 사용되지 않은 계정을 찾아 비밀번호를 변경하기가 더 어렵다. 관리자가 비밀번호가 약한 계정을 찾더라도 비밀번호가 수정된 계정은 발견되지 않습니다. 따라서 관리자는 어떤 계정을 압수할지 결정하기가 어렵습니다.
Rhosts++백도어
네트워크로 연결된 Unix 시스템에서 Rsh 및 Rlogin 과 같은 서비스는 rhosts 파일의 호스트 이름을 기반으로 간단한 인증 방법을 사용합니다. 사용자는 비밀번호 없이 쉽게 설정을 변경할 수 있습니다. 침입자는 액세스할 수 있는 사용자의 rhosts 파일에 "++"를 입력하기만 하면 누구나 비밀번호 없이 이 계정에 들어갈 수 있습니다. 특히 홈 디렉토리가 NFS 를 통해 외부 * * * * 를 즐길 때 침입자는 더욱 이에 열중하고 있다. 이 계좌들은 또한 침입자가 다시 침입하는 뒷문이 되었다. 많은 사람들이 일반적으로 로그 기능이 부족하기 때문에 Rsh 사용을 선호합니다. 많은 관리자들이 "++"를 자주 확인하므로 침입자는 실제로 인터넷에 있는 다른 계정의 호스트 이름과 사용자 이름을 많이 설정하므로 쉽게 찾을 수 없습니다.
체크섬 및 타임 스탬프 백도어
초기에 많은 침입자들이 이진 파일 대신 자신의 trojan 프로그램을 사용했다. 시스템 관리자는 타임스탬프와 시스템 체크섬 프로그램에 의존하여 Unix 의 sum 프로그램과 같이 바이너리 파일이 변경되었는지 여부를 판별합니다. 침입자는 trojan 파일과 원본 파일 타임스탬프를 동기화하는 새로운 기술을 개발했습니다. 이렇게 합니다. 먼저 시스템 시계를 원래 파일 시간으로 다시 다이얼한 다음 trojan 파일의 시간을 시스템 시간으로 조정합니다. 이진 trojan 파일이 원본과 정확하게 동기화되면 시스템 시간을 현재 시간으로 다시 설정할 수 있습니다. Sum 프로그램은 CRC 검증을 기반으로 하며 쉽게 속일 수 있습니다. 침입자는 trojan 의 체크섬을 원본 파일의 체크섬에 조정할 수 있는 프로그램을 설계했다. MD5 는 대부분의 사람들이 추천하는 것으로, MD5 가 사용하는 알고리즘은 아직 아무도 속일 수 없다.
로그인 백도어
유닉스에서 login 프로그램은 일반적으로 telnet 에서 온 사용자에 대한 비밀번호를 검증하는 데 사용됩니다. 침입자는 login.c 의 원본 코드를 받아서 비밀번호를 저장할 때 먼저 뒷문 비밀번호를 확인하도록 수정했다. 사용자가 뒷문 비밀번호를 두드리면 관리자가 설정한 비밀번호를 무시하고 곧장 들어갈 수 있습니다. 이를 통해 침입자는 모든 계정, 심지어 루트까지 들어갈 수 있습니다. 사용자가 실제로 로그인하여 utmp 및 wtmp 에 기록되기 전에 뒷문 비밀번호가 액세스되기 때문에 침입자는 계정 노출 없이 쉘에 로그인할 수 있습니다. 관리자는 이 뒷문을 알아차린 후 "strings" 명령을 사용하여 login 프로그램을 검색하여 텍스트 정보를 찾습니다. 많은 경우 뒷문 구령은 본색을 드러낸다. 침입자는 strings 명령을 무효화하기 위해 비밀번호를 암호화하거나 더 잘 숨기기 시작했습니다. 그래서 더 많은 관리자들이 MD5 체크섬을 사용하여 이런 뒷문을 탐지합니다.
Telnetd 백도어
사용자 telnet 이 시스템에 연결되면 수신 포트의 inetd 서비스가 연결을 받아 in.telnetd 에 전달하여 login 을 실행합니다. 일부 침입자는 관리자가 login 이 수정되었는지 확인할 것임을 알고 in.telnetd 를 수정하기 시작했습니다. in.telnetd 내부에는 사용자 정보에 대한 몇 가지 검사가 있습니다 일반적인 터미널 설정은 Xterm 또는 VT100 입니다. 침입자는 터미널이 "letmein" 으로 설정되어 있을 때 인증을 받지 않는 셸을 생성하는 뒷문을 만들 수 있습니다. 침입자는 특정 서비스에 대해 뒷문을 만들어 특정 소스 포트의 연결에 대한 셸을 생성했습니다.
서비스 뒷문
거의 모든 인터넷 서비스가 침입자에 의해 뒷문으로 이용된 적이 있다. Finger, rsh, rexec, rlogin, FTP, 심지어 inetd 등이 만든 버전은 어디에나 있습니다. 어떤 것은 TCP 포트에 연결된 셸일 뿐, 뒷문 비밀번호를 통해 액세스할 수 있다. 이 절차들은 때때로 가시와 □? Ucp 와 같이 사용하지 않는 서비스나 inetd.conf 에 새로운 서비스로 가입하면 관리자는 이러한 서비스가 실행 중임을 매우 잘 알고 MD5 를 사용하여 원본 서비스 프로그램을 검증해야 합니다.
Cronjob 뒷문
Unix 의 Cronjob 은 일정에 따라 특정 프로그램의 실행을 예약할 수 있습니다. 침입자는 뒷문 셸 프로그램에 가입하여 1AM 과 2AM 사이에서 실행할 수 있으므로 매일 밤 한 시간 동안 액세스할 수 있습니다. Cronjob 에서 자주 실행되는 합법적인 프로그램을 보고 뒷문을 둘 수도 있습니다.
라이브러리 후면 도어
거의 모든 유닉스 시스템은 * * * 공유 라이브러리를 사용하고, * * * 공유 라이브러리는 동일한 함수를 재사용하는 데 사용되며 코드 길이를 줄입니다. 일부 침입자들은 crypt.c 와 _crypt.c 와 같은 함수에 뒷문을 만들었습니다. Login.c 와 같은 프로그램은 crypt () 를 호출합니다. 뒷문 비밀번호를 사용할 때 셸을 생성합니다. 따라서 관리자가 login 프로그램을 MD5 로 검사하더라도 백도어 함수를 생성할 수 있으며, 많은 관리자는 라이브러리가 백도어로 만들어졌는지 확인하지 않습니다. 많은 침입자에게 한 가지 문제가 있습니다. 일부 관리자는 모든 것에 대해 MD5 검증을 많이 했고, 한 가지 방법은 침입자가 open () 및 파일 액세스 함수를 뒷문으로 만드는 것입니다. 백도어 함수는 원본 파일을 읽지만 trojan 백도어 프로그램을 실행합니다. 따라서 MD5 가 이러한 파일을 읽을 때 체크섬은 정상이지만, 시스템이 실행될 때 trojan 버전을 실행하게 됩니다. trojan 라이브러리 자체도 MD5 검증을 피할 수 있습니다. 관리자에게 뒷문을 찾을 수 있는 한 가지 방법은 정적 연결 MD5 검사기를 연결하고 실행하는 것입니다. 정적 연결 프로그램은 trojan*** 공유 라이브러리를 사용하지 않습니다.
커널 후면 도어
커널은 유닉스 작업의 핵심이며, 라이브러리가 MD5 검증을 피하는 방법도 커널 수준에도 적용되며 정적 연결조차도 인식하지 못합니다. 뒷문이 잘 만들어진 커널은 관리인이 가장 찾기 어려운 것이지만, 다행스럽게도 커널의 뒷문 프로그램은 아직 쉽게 구할 수 있는 것이 아니며, 모두가 그것이 실제로 얼마나 널리 전파되고 있는지를 알고 있다. (윌리엄 셰익스피어, 햄릿, 지혜명언)
파일 시스템 백도어
침입자는 서버에 약탈물이나 데이터를 저장해야 하며, 관리자가 침입자의 문장 중에는 exploit 스크립팅 도구, 뒷문 세트, 스니퍼 로그, 이메일 백업, 원본 코드 등이 포함되어 있다는 사실을 알 수 없습니다! 관리자가 이렇게 큰 파일을 발견하지 못하도록 침입자는 특정 디렉토리와 파일을 숨기기 위해' ls',' du',' fsck' 를 패치해야 하는 경우도 있습니다
따라서 침입자는 이러한 숨겨진 파일에 특별한 도구로만 액세스할 수 있으며, 일반 관리자에게는 이러한 "불량 섹터" 에 있는 파일 시스템을 찾기가 어렵고 실제로 존재합니다.
부트 블록 백도어
PC 세계에서는 많은 바이러스가 루트 영역을 숨기고 있으며, 바이러스 소프트웨어를 죽이는 것은 루트 영역이 변경되었는지 확인하는 것입니다. 유닉스에서는 대부분의 관리자가 루트 영역의 소프트웨어를 확인하지 않았기 때문에 일부 침입자는 일부 뒷문을 루트 영역에 남겨 두었습니다.
숨은 프로세스 뒷문
침입자는 보통 그들이 실행하는 프로그램을 숨기려 한다. 이런 프로그램은 일반적으로 비밀번호 해독기와 리스너 (sniffer) 이며, 여러 가지 방법으로 실현할 수 있다. 이것은 비교적 보편적이다. 프로그램을 작성할 때 자신의 argv[] 를 수정하여 다른 프로세스 이름처럼 보이게 한다. 스니퍼 프로그램 이름을 in.syslog 와 같이 바꿀 수 있으므로 관리자가 "PS" 를 사용하여 실행 프로세스를 확인할 때 표준 서비스 이름이 나타납니다. 라이브러리 함수를 수정하여 "PS" 가 모든 프로세스를 표시할 수 없도록 할 수 있습니다. 백도어 또는 프로그램을 인터럽트 드라이버에 포함시켜 프로세스 테이블에 나타나지 않도록 할 수 있습니다. 이 기술을 사용하는 뒷문의 예는
입니다Amod.tar.gz:
인터넷 통행. 이러한 네트워크가 통과된 후 문을 통해 침입자가 방화벽을 통해 액세스할 수 있는 경우가 있습니다. 침입자가 포트 번호를 설정할 수 있도록 허용하는 많은 네트워크 백도어 프로그램이 있으며 일반 서비스를 사용하지 않고도 액세스할 수 있습니다. 비표준 네트워크 포트를 통한 통행이기 때문에 관리자는 침입자의 발자국을 무시할 수 있습니다. 이 뒷문은 일반적으로 TCP, UDP 및 ICMP 를 사용하지만 다른 유형의 메시지일 수도 있습니다.
Tcp 셸 백도어
침입자는 방화벽이 차단되지 않은 높은 TCP 포트에 이러한 TCP 셸 백도어를 설정할 수 있습니다. 대부분의 경우 관리자가 연결되면 바로 셸 액세스로 볼 수 없도록 암호로 보호합니다. 관리자는 netstat 명령을 사용하여 현재 연결 상태, 수신 중인 포트, 현재 연결의 경위를 볼 수 있습니다. 일반적으로 이러한 뒷문은 침입자가 TCP Wrapper 기술을 피할 수 있도록 합니다. 이들 뒷문은 SMTP 포트에 둘 수 있으며, 많은 방화벽이 e-메일 통행을 허용한다.
Udp 셸 백도어
관리자는 종종 TCP 연결에 주의를 기울이고 이상한 상황을 관찰하는데, UDP 셸 뒷문에는 이런 연결이 없기 때문에 netstat 는 침입자의 액세스 흔적을 표시할 수 없습니다. 많은 방화벽이 DNS 와 같은 UDP 메시지의 통행을 허용하도록 설정되어 있습니다. 일반적으로 침입자는 UDP 쉘을 이 포트에 배치하여 방화벽을 통과할 수 있습니다.
Icmp 셸 백도어
Ping 은 ICMP 패킷을 보내고 받아 기계 활동 상태를 감지하는 일반적인 방법 중 하나입니다. 많은 방화벽은 외부 세계가 내부 시스템에 대해 Ping 할 수 있도록 허용하고 침입자는 Ping 의 ICMP 패키지에 데이터를 넣어 ping 하는 시스템 사이에 셸 채널을 형성할 수 있으며, 관리자는 ping 패키지 폭풍을 알아차릴 수 있지만, 그가 가방 안의 데이터를 보는 것 외에는 침입자가 노출되지 않습니다.
암호화된 연결
관리자는 스니퍼가 액세스를 시도하는 데이터를 설정할 수 있지만 침입자가 네트워크를 통해 뒷문을 암호화한 후에는 두 시스템 간의 전송 내용을 확인할 수 없습니다.