翻新时间:2013-12-14
谈网络安全之木马技术
摘要:本文主要从黑客入侵的技术中如何掩盖其行踪,达到保护自己目的,为大家查找入侵途径及防范入侵提供帮助。
关键词:木马 入侵 隐藏 攻击
一、隐藏踪迹
1.编辑系统日志
许多攻击者会在本地系统日志中留下痕迹。例如某个对OpenSSH实施蛮力口令攻击的用户会产生日志记录。Syslog记录通常含有攻击者的身份或位置的信息。在入侵之后,攻击者很可能会抹掉记录其踪迹的日志。Syslog文件一般保存在root::root所属的/var/log/目录下。其文件许可通常为644,即所有人均可读,但是只有root可写。已经攻破root的攻击者能够抹掉与其相关的日志信息。
2.抹去日志记录文件
大部分登录软件都会在名为/var/log/utmp或/var/log/wtmp的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/log/utmp或/var/log/wtmp文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。
二、木马化系统程序
1.日志报告。多数日志程序都将日志信息记录在wtmp,utmp或syslog文件中。通过重新编译login,su,sudo,in.telnetd,sshd,rlogind等,攻击者才能够从根本上阻止记录这些信息。类似于w,who和last的命令扫描wtmp和utmp文件,以报告当前有哪些用户,或者显示之前的登录情况。通过修改这些命令,攻击者甚至无需修改日志文件的内容就能保持隐身状态。
2.进程报告。类似于ps,lsof和top的命令通常也被木马化。以隐藏运行的任意进程。这些进程通常包括口令破解会话、对外攻击或远程守护进程。例如,可以在ps命令的某个源代码文件readproc.c中添加了若干代码:
proc_t* ps_readproc(PROCTAB *PT,proc_t* rbuf) {
next_proc:
while((ent = readdir(PT-
下载文档
网友最新关注
- 一件可怕的事
- 鹦鹉
- 寒假趣事
- 爱什么颜色
- 小鸟和葡萄
- 放烟花
- 书包里的叹气声
- 假如我是一朵云
- 我的妈妈
- 放烟花
- 寻找春天
- 年夜饭
- 我爱我家
- “抠门”的妈妈
- 逛庙会
- 顶岗交流工作总结
- 政治学习总结
- 学期协会工作总结
- 志愿者通用培训总结
- 青年志愿者协会2011年工作总结
- 争先创优工作总结
- 大学生村远程教育志愿活动总结
- 小学五年级信息技术课教学总结
- 小学数学实践性作业的研究工作总结
- 教师家访工作总结
- 小学英语课堂教学评优活动总结
- 卫生检查工作总结
- 英语教育教学工作总结
- 学生会生活部招新面试总结
- 团日活动总结团日活动总结
- 多线制与总线制
- 第三条道路理论研究的路径分析
- 旋挖钻机施工工艺流程
- 物流的发展与公路货运企业经营战略的转变(1)
- 自由主义如何关心社会公正
- 外电防护方案
- 电气施工图识读指导书
- 努力探索新形势下选用干部的新路子
- 给初学电气工作人员的几点建议
- 城市地铁矩形地下通道掘进机的研究与应用(1)
- 区域经济发展与现代物流(1)
- 建筑物等电位联结
- 选择焊条的原则
- 格拉修斯原则:基督教二元政治观的形成
- 用电常识内容
- 《赵州桥》教学设计之五
- 《画》教学设计之四
- 《画杨桃》教学设计之二
- 《画》
- 《画》教学设计之五
- 《七颗钻石》教学设计之三
- 《画》教学设计之四
- 《画》教学设计之六
- 《画杨桃》教学设计之三
- 《画杨桃》教学设计之四
- 《画》片断赏析
- 《画》教学设计之二
- 《画》教学设计之三
- 《画》教学设计之四
- 《七颗钻石》教学设计之五