翻新时间:2013-12-14
谈网络安全之木马技术
摘要:本文主要从黑客入侵的技术中如何掩盖其行踪,达到保护自己目的,为大家查找入侵途径及防范入侵提供帮助。
关键词:木马 入侵 隐藏 攻击
一、隐藏踪迹
1.编辑系统日志
许多攻击者会在本地系统日志中留下痕迹。例如某个对OpenSSH实施蛮力口令攻击的用户会产生日志记录。Syslog记录通常含有攻击者的身份或位置的信息。在入侵之后,攻击者很可能会抹掉记录其踪迹的日志。Syslog文件一般保存在root::root所属的/var/log/目录下。其文件许可通常为644,即所有人均可读,但是只有root可写。已经攻破root的攻击者能够抹掉与其相关的日志信息。
2.抹去日志记录文件
大部分登录软件都会在名为/var/log/utmp或/var/log/wtmp的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/log/utmp或/var/log/wtmp文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。
二、木马化系统程序
1.日志报告。多数日志程序都将日志信息记录在wtmp,utmp或syslog文件中。通过重新编译login,su,sudo,in.telnetd,sshd,rlogind等,攻击者才能够从根本上阻止记录这些信息。类似于w,who和last的命令扫描wtmp和utmp文件,以报告当前有哪些用户,或者显示之前的登录情况。通过修改这些命令,攻击者甚至无需修改日志文件的内容就能保持隐身状态。
2.进程报告。类似于ps,lsof和top的命令通常也被木马化。以隐藏运行的任意进程。这些进程通常包括口令破解会话、对外攻击或远程守护进程。例如,可以在ps命令的某个源代码文件readproc.c中添加了若干代码:
proc_t* ps_readproc(PROCTAB *PT,proc_t* rbuf) {
next_proc:
while((ent = readdir(PT-
下载文档
网友最新关注
- 我--幸福的少年
- 二十年后的今天
- 我的烟花飞上了天
- 痛并快乐
- 假文盲
- 爸爸的爱
- “临时班长”
- 害怕,是可以克服的
- 书籍·理想·人生
- 我想克隆自己
- 我为妈妈过生日
- 心灵的呼唤
- 童年
- 童年的趣事
- 扫除
- 浅谈初中英语教师与后进生的课堂言语行为策略
- 论国家审计促进转变经济发展方式的运行机制
- 全面成本管理提升企业价值(1)-成本管理论文(1)
- 提高建筑施工企业竞争力的研究(1)-成本管理论文(1)
- 民营企业如何发挥内部审计的作用
- 如何在企业中发挥好内部审计的作用
- 论析新课程背景下高中思想政治课教学中“提问艺术"的运用
- 园林工程企业如何做好成本管理-成本管理论文(1)
- 信息技术环境下的审计变革
- 强化和规范工程项目审计的措施浅析
- 浅议审计职业道德建设
- 施工企业成本管理的几点思考(1)-成本管理论文(1)
- 战略成本动因分析研究(1)-成本管理论文(1)
- 试论电网企业的成本控制(1)-成本管理论文(1)
- 浅谈储蓄成本控制(1)-成本管理论文(1)
- 《我的信念》学习目标
- 信念铸就的科学女神──《我的信念》简析
- 《我的信念》课文导读
- 《我的信念》精彩句讲解
- 《我的信念》拓展阅读
- 《我的信念》词语解释
- 《我的信念》重点难点
- 《我的信念》学法导引
- 《我的信念》重点难点突破
- 《我的信念》写作特色
- 《我的信念》中心思想
- 《我的信念》学案
- 《我的信念》结构分析
- 《我的信念》课文简析
- 《我的信念》写作特点