网络后门面面观

你是否受到黑客攻击而愤愤不平?每当防火墙警报响起时,你是选择沉默还是给予适当的警告?该出手时就出手,借用一些技巧给对方一个善意的“下马威”吧!

  信使服务

  防火墙检测到系统受到攻击时,一般会报警或记录下相应的数据。比如常用的天网防火墙,当它检测到系统遭受攻击时,系统托盘处的天网图标就会出现一个闪烁的警报信号,双击该图标,从弹出的窗口中,你可以得到攻击者的来源、试图从端口进行“突破”等信息(如图1)。
  

图1

  知道了攻击者的IP地址后,我们可以尝试使用信使服务给对方一个消息,可以是好言相劝哦!Windows 2000/XP默认情况下是将信使服务开着的,可以收到别人发送的消息。假设我们要给攻击者发送信使消息,可以打开“命令提示符”窗口,键入“net send 218.51.***.*** 警告消息”。如果要输入的文字消息比较多,在Windows 2000中还有另外一种法,打开[控制面板]→[管理工具]→[组件服务],用鼠标右键单击“本地计算机上的服务”,选择弹出菜单中的[所有任务]→[发送控制台消息],输入消息内容后,点击[添加]按钮,输入接收方的IP地址,最后点击[发送]按钮即可。
 
  注意:如果对方没有开启信使服务,或者使用了不支持信使服务的系统(比如Windows 98),那么发送信息时你会收到出错的提示。

  情报发往何处?

  对于喜欢软件尝鲜的朋友,上了宽带后一定乐此不疲地下载试用各种软件,然而有些软件就像“披着羊皮的狼”,它们可能在暗中窃取你的秘密,然后发送到主人的邮箱中。对于一个自己不放心的软件,要得知它们在网络的一举一动,关键就是将它们活动的数据包记录下来,尝试找到收集“情报”的E-mail地址后,你就可以去封E-mail了解情况了!

  目前能截获并记录网络数据包的软件比较多,笔者推荐采用KFW,这是一个防火墙软件,它最具特色的功能就是能截获指定应用程序的网络数据包,将发送和接收的数据一一记录下来,您可以进行保存、分析,掌握网络软件背后的一举一动。

  KFW的下载地址:http://www8.pconline.com.cn/download/swdetail.phtml?id=7753,安装后重新启动就可以使用了。不同的网络防火墙一起使用时,彼此之间可能会有所冲突,笔者建议你使用KFW时关闭掉其他网络防火墙。

从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的:即使管理员改变密码,仍然能再次侵入,并且使再次侵入被发现的可能性减至最低。

  大多数后门是设法躲过日志,即使入侵者正在使用系统也无法显示他已在线。有时如果入侵者认为管理员可能会检测到已经安装的后门,他们使会以系统的脆弱性作为唯一后后门,反复攻破机器。

  我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。

  1、Rhosts++后门

  在连网的Unix机器中,像Rsh和Rlogin这样的服务是基于rhosts的,使用简单的认证方法,用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入"++",就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时,入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh,团为它通常缺少日志能力。许多管理员经常检查“++”.所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名,从而不易被发现。

  2、校验及时间戳后门

  早期,许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变,如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步,就可以把系统时间设回当前时间。sum程序基于crc校验,很容易被骗过。

  3、Login 后门

  unix里,Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,使用“strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令,使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。

  4、服务后门

  几乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell,通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。

  5、Cronjob后门

  Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序,使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序,同时置入后门。

  6、库后门

  几乎所有的Unix系统都使用共享库,一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt(),当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序,仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时,校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序,然后运行。静态连接程序不会使用特洛伊木马共享库。

时间: 2006-10-01

网络世界的“后门” -端口的故事①

在上网的时候,我们经常会看到"端口"这个词,也会经常用到端口号,比如在FTP地址后面增加的"21",21就表示端口号.那么端口到底是什么意思呢?怎样查看端口号呢?下面就将介绍这方面的内容. 端口概念 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem.集线器.交换机.路由器用于连接其他网络设备的接口,如RJ-45端口.SC端口等等.二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如

IRC后门病毒及手动清除方法

2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

浅析2004年出现的4种新后门技术

曾经饱受木马.后门(以下统称后门)侵害的人们都不会忘记机器被破坏后的惨象,于是人们展开了积极的防御工作,从补丁到防火墙,恨不得连网线都加个验证器,在多种多样的防御手法夹攻下,一大批后门倒下了,菜鸟们也不用提心吊胆上网了-- 可是后门会因此罢休吗?答案当然是否定的.君不见,在风平浪静的陆地下,一批新的后门正在暗渡陈仓-- 1.反客为主的入侵者 黑客A连接上了网络,却不见他有任何行动,他在干什么呢?我们只能看见他燃起一支烟,似乎在发呆--过了一会儿,他突然把烟头一丢,双手迅速敲击键盘,透过屏幕,我们

修改注册表对付病毒、木马、后门及黑客程序

在网络给我们的工作学习带来极大方便的同时,病毒.木马.后门以及黑客程序也严重影响着信息的安全.这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行.破坏和传播等目的.以下是笔者在网上收集的,通过修改注册表来对付病毒.木马.后门以及黑客程序,保证个人计算机的安全. 1.预防Acid Battery v1.0木马的破坏 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如

在Real影片中放木马后门

在Real影片中放木马后门.遇到类是情况希望大家注意 经常遇到rm影片播放时弹出网页,一直不知道怎么回事,前几天看到了大众软件中一篇文章才知道插入和去除的方法,好东东不敢独享,在网上搜了三篇相关文章,转给大家拉!  在Real影片中放 木马 在P2P软件里,很多的Real影片都是危险的,这只是一个小技巧,辅助的一种入侵方式,但这种方法很有效果,比如在著名的A片交流软件PP点点通里,安装了一个这样的小木马 ,两天就有200个肉鸡,并且呈几何状增长.大家别做坏事. 使用某个工具来修改影片的剪辑信息,

推荐一个电信网络工程师讲解禁路由上网的破解方法

ADSL共享上网有两种方式,一种是代理,一种是地址翻译(NAT),大家常说的路由方式其实就  是NAT方式,其实路由和NAT的原理还是有区别的,这里不作讨论,现在的ADSL猫一般都有NAT的  功能,用它本身的功能实现共享上网是比经济方便,本文主要讨论这种方式.转  要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台,NAT的工作原理如图  一所示,经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转  换成了ADSL的MAC地址,也就是说,

IIS配置文件后门的方法

作者:tombkeeper pgn 来源:www.loveling.net/黑客基地 本文的内容是如何利用IIS本身的一些特性建立后门.当然,这主要是一份供网络管理员和网络安全工作人员参考的"Know Your Enemy"类文档,作者希望这篇文章能够对检查和清除后门有所帮助,而并不鼓励或赞同利用本文的技巧进行违法活动. 首先简单介绍一下IIS的配置文件MetaBase.bin.这个文件位于%SystemRoot%system32inetsrvMetaBase.bin,包含了几乎所有I

角逐网络江湖—黑客兵器谱排名

纵横于黑客江湖,没几件称心兵器怎能立足?本栏目将不定期刊出黑客常用的重量级兵器,希望对读者朋友了解.学习网络安全技术有所指导. No.1 懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事. 兵器名称:X-Scan 杀伤指数:★★★★☆ 独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式.扫描内容包括:远程服务类型.操作系统类型及版本,各种弱口令漏洞.后门.应用服务漏洞.网络设备漏洞.拒绝服务漏洞等二十几个大类,支持在线升级,是国内

VBS+MSWinsock打造灵巧UDP后门的相关资料

大概在一年前,VBS脚本病毒又揭起一阵热潮,一大群VBS病毒在互联网上盛行.那时的VBS病毒几乎都是用FSO.MAPI作为一个病毒传染引擎,所以我就想,VBS可否访问网络呢?如果它也能进行端口的连接,那就神奇了.从此之后,我就努力去找有关VBS的网络类的资料,可惜找了好久,什么收获也没有,直到一个月前高考结束了,我才可以静下来搞这个东西,并终于有了一点进展. 现在分析一下VBS的运作原理吧.VBS的全称是"Visual Basic Scripts",由于VBS是由Visual Basi