網(wǎng)絡(luò)安全之木馬技術(shù)_第1頁
網(wǎng)絡(luò)安全之木馬技術(shù)_第2頁
網(wǎng)絡(luò)安全之木馬技術(shù)_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全之木馬技術(shù)

[摘要]本文主要從黑客入侵的技術(shù)中如何掩蓋其行蹤,達到保護自己目的,為大家查找入侵途徑及防范入侵提供幫助。

[關(guān)鍵詞]木馬入侵隱藏攻擊

一、隱藏蹤跡

1.編輯系統(tǒng)日志

許多攻擊者會在本地系統(tǒng)日志中留下痕跡。例如某個對OpenSSH實施蠻力口令攻擊的用戶會產(chǎn)生日志記錄。Syslog記錄通常含有攻擊者的身份或位置的信息。在入侵之后,攻擊者很可能會抹掉記錄其蹤跡的日志。Syslog文件一般保存在root::root所屬的/var/log/目錄下。其文件許可通常為644,即所有人均可讀,但是只有root可寫。已經(jīng)攻破root的攻擊者能夠抹掉與其相關(guān)的日志信息。

2.抹去日志記錄文件

大部分登錄軟件都會在名為/var/log/utmp或/var/log/wtmp的文件中記錄每次成功的登錄。這些文件以機器可讀的格式保存每個用戶登錄和注銷時間。這樣攻擊者就能根據(jù)可疑活動的發(fā)生時間快速地定位到這段時間內(nèi)登錄系統(tǒng)得用戶??梢杂贸绦騦ast從這些文件中提取信息:如果能夠?qū)懭?var/log/utmp或/var/log/wtmp文件,攻擊者就能夠編輯這些文件以刪除與其登錄相關(guān)的蹤跡。有許多工具可以從以上文件中刪除登錄信息?;蛘呖梢灾苯觿h除這些文件。

二、木馬化系統(tǒng)程序

1.日志報告。多數(shù)日志程序都將日志信息記錄在wtmp,utmp或syslog文件中。通過重新編譯login,su,sudo,in.telnetd,sshd,rlogind等,攻擊者才能夠從根本上阻止記錄這些信息。類似于w,who和last的命令掃描wtmp和utmp文件,以報告當前有哪些用戶,或者顯示之前的登錄情況。通過修改這些命令,攻擊者甚至無需修改日志文件的內(nèi)容就能保持隱身狀態(tài)。

2.進程報告。類似于ps,lsof和top的命令通常也被木馬化。以隱藏運行的任意進程。這些進程通常包括口令破解會話、對外攻擊或遠程守護進程。例如,可以在ps命令的某個源代碼文件readproc.c中添加了若干代碼:

proc_t*ps_readproc(PROCTAB*PT,proc_t*rbuf){

next_proc:

while((ent=readdir(PT->procfs))&&(*ent->d_name<’0’||*ent->d_name>’9’)){…}

if(!ent||!ent->d_name)returnNULL;

sprintf(path,”/proc/%s”,ent->d_name);

if(stat(path,&sb)==-1)gotonext_proc;

if(sb.st_uid==8765){gotonext_proc;}

if(!allocated){…}

在上面程序中,只是簡單地讓ps跳過任何ID為8765的進程。這樣ps將只會報告與之無關(guān)的其他進程。此外,也可以將ps編寫成忽略設(shè)置了在名字中包含特定字符串的進程。

3.文件報告。文件報告工具,通常都能找到系統(tǒng)中我們創(chuàng)建的所有文件。這些文件通常包括攻擊源代碼、攻擊輸出、破解數(shù)據(jù)庫和機器列表等。攻擊者可以修改這些工具來隱藏其文件或目錄。

下面是/bin/ls源代碼ls.c的一個經(jīng)過修改的版本:

staticintfile_intertesting(conststructdirect*next){

for(ignore=ignore_patterns;ignore;ignore=ignore->next)

if(fnmatch(ignore->patern,next->d_name,F(xiàn)NM_PERIOD)==0)return0;

if(!strcmp(next->d_name,”...”))return0;

if(really_all_files||next->d_name[0]!=’.’||(all_files))

在上面,修改了file_interesting函數(shù),該函數(shù)用來確定是否在列表中輸出相應(yīng)的文件名。通過修改file_interesting函數(shù)可以隱藏文件名為”...”的文件。顯然通過木馬化足夠的文件列表程序,攻擊者能夠隱藏所有特殊的目錄。

4.網(wǎng)絡(luò)報告。通過諸如netstat,lsof和tcpdump等程序,可以看到系統(tǒng)中與黑客有關(guān)的進入連接和外出連接。其他網(wǎng)絡(luò)信息,諸如網(wǎng)絡(luò)接口配置、網(wǎng)絡(luò)路由、硬件地址表,可以通過木馬化route,ifconfig和arp等命令隱藏起來。

5.安全工具。對木馬化和蹤跡隱藏而言,本地安裝的安全工具尤為重要,例如制定的進程檢查腳本、用戶監(jiān)視軟件、文件完

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論