網(wǎng)絡(luò)安全之木馬技術(shù)

網(wǎng)絡(luò)平安之木馬技術(shù)[摘要]本文主要從黑客入侵的技術(shù)中如何掩蓋其行蹤,到達(dá)保護(hù)自己目的,為大家查找入侵途徑及防范入侵提供幫助。[關(guān)鍵詞]木馬入侵隱藏攻擊一、隱藏蹤跡1.編輯系統(tǒng)日志許多攻擊者會(huì)在本地系統(tǒng)日志中留下痕跡。例如某個(gè)對(duì)penSSH施行蠻力口令攻擊的用戶會(huì)產(chǎn)生日志記錄。Syslg記錄通常含有攻擊者的身份或位置的信息。在入侵之后,攻擊者很可能會(huì)抹掉記錄其蹤跡的日志。Syslg文件一般保存在rt::rt所屬的/var/lg/目錄下。其文件答應(yīng)通常為644,即所有人均可讀,但是只有rt可寫。已經(jīng)攻破rt的攻擊者可以抹掉與其相關(guān)的日志信息。2.抹去日志記錄文件大局部登錄軟件都會(huì)在名為/var/lg/utp或/var/lg/tp的文件中記錄每次成功的登錄。這些文件以機(jī)器可讀的格式保存每個(gè)用戶登錄和注銷時(shí)間。這樣攻擊者就能根據(jù)可疑活動(dòng)的發(fā)生時(shí)間快速地定位到這段時(shí)間內(nèi)登錄系統(tǒng)得用戶?？梢杂贸绦騦ast從這些文件中提取信息:假如可以寫入/var/lg/utp或/var/lg/tp文件,攻擊者就可以編輯這些文件以刪除與其登錄相關(guān)的蹤跡。有許多工具可以從以上文件中刪除登錄信息。或者可以直接刪除這些文件。二、木馬化系統(tǒng)程序1.日志報(bào)告。多數(shù)日志程序都將日志信息記錄在tp,utp或syslg文件中。通過重新編譯lgin,su,sud,in.telnetd,sshd,rlgind等,攻擊者才可以從根本上阻止記錄這些信息。類似于,h和last的命令掃描tp和utp文件,以報(bào)告當(dāng)前有哪些用戶,或者顯示之前的登錄情況。通過修改這些命令,攻擊者甚至無需修改日志文件的內(nèi)容就能保持隱身狀態(tài)。2.進(jìn)程報(bào)告。類似于ps,lsf和tp的命令通常也被木馬化。以隱藏運(yùn)行的任意進(jìn)程。這些進(jìn)程通常包括口令破解會(huì)話、對(duì)外攻擊或遠(yuǎn)程守護(hù)進(jìn)程。例如,可以在ps命令的某個(gè)源代碼文件readpr.中添加了假設(shè)干代碼:pr_t*ps_readpr(PRTAB*PT,pr_t*rbuf){next_pr:hile((ent=readdir(PT-prfs))(*ent-d_nae’0’||*ent-d_nae’9’)){…}if(!ent||!ent-d_nae)returnNULL;sprintf(path,〞/pr/%s〞,ent-d_nae);if(stat(path,sb)==-1)gtnext_pr;if(sb.st_uid==8765){gtnext_pr;}if(!allated){…}在上面程序中,只是簡單地讓ps跳過任何ID為8765的進(jìn)程。這樣ps將只會(huì)報(bào)告與之無關(guān)的其他進(jìn)程。此外,也可以將ps編寫成忽略設(shè)置了在名字中包含特定字符串的進(jìn)程。3.文件報(bào)告。文件報(bào)告工具,通常都能找到系統(tǒng)中我們創(chuàng)立的所有文件。這些文件通常包括攻擊源代碼、攻擊輸出、破解數(shù)據(jù)庫和機(jī)器列表等。攻擊者可以修改這些工具來隱藏其文件或目錄。下面是/bin/ls源代碼ls.的一個(gè)經(jīng)過修改的版本:statiintfile_intertesting(nststrutdiret*next){fr(ignre=ignre_patterns;ignre;ignre=ignre-next)if(fnath(ignre-patern,next-d_nae,FN_PERID)==0)return0;if(!strp(next-d_nae,〞...〞))return0;if(really_all_files||next-d_nae[0]!=’.’||(all_files))在上面,修改了file_interesting函數(shù),該函數(shù)用來確定是否在列表中輸出相應(yīng)的文件名。通過修改file_interesting函數(shù)可以隱藏文件名為〞...〞的文件。顯然通過木馬化足夠的文件列表程序,攻擊者可以隱藏所有特殊的目錄。4.網(wǎng)絡(luò)報(bào)告。通過諸如netstat,lsf和tpdup等程序,可以看到系統(tǒng)中與黑客有關(guān)的進(jìn)入連接和外出連接。其他網(wǎng)絡(luò)信息,諸如網(wǎng)絡(luò)接口配置、網(wǎng)絡(luò)路由、硬件地址表,可以通過木馬化rute,ifnfig和arp等命令隱藏起來。5.平安工具。對(duì)木馬化和蹤跡隱藏而言,本地安裝的平安工具尤為重要,例如制定的進(jìn)程檢查腳本、用戶監(jiān)視軟件、文件完好性工具或數(shù)據(jù)庫。假如攻擊者可以修改文件完好性軟件或suid/sgid檢查程序,以使之忽略其所建立的特定目錄,就能在該目錄下平安地安裝任何東西而不被發(fā)現(xiàn),包括suid為rt的程序,而通常這類程序很容易被發(fā)現(xiàn)。三、隱藏木馬文件1.文件名詭計(jì)。Linux文件名可以包含除/和\\000之外的任何字符。在文件名中使用不可打印字符即可在諸如ls或ps的工具下假裝其真實(shí)名字。這里創(chuàng)立了一個(gè)名為“..〞的目錄。此時(shí)因?yàn)槎鄶?shù)人不會(huì)以-a標(biāo)志來使用ls,因此根本就看不到這個(gè)目錄。而那些確實(shí)使用了-a標(biāo)志的人也有可能不會(huì)注意到這個(gè)情況,將之誤以為..目錄。然后,以同樣的方式,黑客把一個(gè)攻擊程序重命名為“sh〞。該程序運(yùn)行時(shí),在ps命令下的顯示與普通的sh只有細(xì)微的差異。2.更改argv[0]。程序運(yùn)行時(shí)會(huì)得到一個(gè)命令行參數(shù)列表。這些參數(shù)保存在名為argv的數(shù)組中,其中argv[1]為第一個(gè)參數(shù),argv[2]為第二個(gè)參數(shù)。而argv[0]那么是這個(gè)程序自己的名字。假如需要的話,程序可以用這個(gè)參數(shù)來確定自己的運(yùn)行方式。例如gzip,gunzip和zxat通常都是到一樣i節(jié)點(diǎn)的硬連接:因此,在這個(gè)例子中,假如運(yùn)行/bin/gzip,那么程序根據(jù)argv[0]來確定應(yīng)當(dāng)執(zhí)行壓縮功能。在程序中也可更改這個(gè)變量,且在ps的輸出中所顯示的將是該更改值。3.已刪除文件。除非鏈接數(shù)為0,否那么系統(tǒng)不會(huì)物理刪除磁盤上的文件。在上面的/gzip/gunzip/zat例子中,因?yàn)檫@些文件名都指向磁盤上的同一個(gè)i節(jié)點(diǎn),所以其鏈接數(shù)是3。用戶在刪除/bin/gzip之后,仍然可以使用/bin/gunzip和/bin/zat。每當(dāng)某個(gè)進(jìn)程翻開文件時(shí),內(nèi)核會(huì)將文件的引用計(jì)數(shù)加1。也就是說,即便某個(gè)進(jìn)程翻開并刪除了一個(gè)文件,所有翻開該文件的其它進(jìn)程仍然可以訪問它。我們可以利用這個(gè)機(jī)制來隱藏程序所使用的數(shù)據(jù)文件,或者隱藏程序自身。因?yàn)楫?dāng)進(jìn)程被kill掉,它所翻開文件的鏈接數(shù)就會(huì)歸于0,相應(yīng)文件也會(huì)永久喪失。所以,這也就成為一種簡單的方法,即只要kill進(jìn)程或重啟動(dòng)機(jī)器,管理員就要費(fèi)些周折才能找到相關(guān)證據(jù)。4.覆蓋性加載。攻擊者可以利用加載的方法來隱藏整個(gè)目錄,使別人難以輕易訪問。例如可以創(chuàng)立/pt/tp目錄并將自己的所有工具都放置在該目錄下。然后切換到這個(gè)目錄,運(yùn)行所需要的任何