黑客中说的后门什么意思? 黑客们常说的“肉鸡”“后门” 都是什么意思
\u9ed1\u5ba2\u540e\u95e8\u662f\u4ec0\u4e48\u610f\u601d\u9ed1\u5ba2\u4e13\u4e1a\u672f\u8bed\u4ecb\u7ecd\uff0c\u4ec0\u4e48\u662f\u8089\u9e21 - \u6f0f\u6d1e\u77e5\u8bc6\u5e93
密码破解后门
这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。
Login后门
在Unix里,login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。
Telnetd后门
当用户telnet到系统,监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验,比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门,当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门,对来自特定源端口的连接产生一个shell。
服务后门
几乎所有网络服务曾被入侵者作过后门。 Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序,同时置入后门。
库后门
几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门;象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。
内核后门
内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。
Boot块后门
在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。
隐匿进程后门
入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序(sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行,因此当管理员用"ps"检查运行进程时,出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是
amod.tar.gz :
网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了。
也就是说 黑客入侵你的电脑之后 表面看起来黑客已经走了 但是他悄悄在你的系统上开了一个漏洞 通过这个漏洞 他可以知道你在干什么 而且很隐蔽
就是能够进入很隐蔽的进入一个系统,不论是Linux还是Windows
最简单的后门就是远程控制类的木马了
有很多后门。。不知道你是指木马后门还是指shift后门。。
(自己理解的)
木马后门有:
1.系统木马、病毒。
2.WEB脚本木马:这些木马黑客俗称webshell。被入侵者利用,从而达到控制站服务器的目的。这些网页脚本常称为WEB脚本木马,目前比较流行的asp或php木马,也有基于.NET的脚本木马与JSP脚本木马。
3.shift后门:windows系统的一种后门。按五次shift即可出现的,可以执行dos命令甚至管理系统。
绛旓細鍚庨棬绋嬪簭灏辨槸鐣欏湪璁$畻鏈虹郴缁熶腑锛屼緵鏌愪綅鐗规畩浣跨敤鑰呴氳繃鏌愮鐗规畩鏂瑰紡鎺у埗璁$畻鏈虹郴缁熺殑閫斿緞銆俒1]鍚庨棬绋嬪簭锛岃窡鎴戜滑閫氬父鎵璇寸殑"鏈ㄩ┈"鏈夎仈绯讳篃鏈夊尯鍒傝仈绯诲湪浜庯細閮芥槸闅愯棌鍦ㄧ敤鎴风郴缁熶腑鍚戝鍙戦佷俊鎭,鑰屼笖鏈韩鍏锋湁涓瀹氭潈闄,浠ヤ究杩滅▼鏈哄櫒瀵规湰鏈虹殑鎺у埗銆傚尯鍒湪浜庯細鏈ㄩ┈鏄竴涓畬鏁寸殑杞欢,鑰屽悗闂ㄥ垯浣撶Н杈冨皬涓斿姛鑳介兘寰...
绛旓細1銆佺數鑴戝悗闂ㄥ嵆鏄綉缁滅殑婕忔礊锛屽彲鑳借榛戝鍒╃敤鐨勬紡娲烇紝閫氳繃鏌愮鎵嬫鍦ㄤ竴鍙颁釜浜虹數鑴戜腑妞嶅叆涓涓▼搴忥紝浣胯繖鍙版満鍣ㄥ彉鎴愪竴鍙板紑鏀炬ф瀬楂橈紙鐢ㄦ埛鎷ユ湁鏋侀珮鏉冮檺锛夌殑FTP鏈嶅姟鍣紝鐒跺悗灏卞彲浠ヨ揪鍒颁镜鍏ョ殑鐩殑銆2銆佸厜鏈夆滃悗闂ㄢ濈▼搴忔槸涓嶅鐨勩備竴涓ソ鐨勬帶鍒跺伐鍏蜂竴鑸垎鎴愪袱涓儴鍒嗭細涓涓槸Client锛屼篃灏辨槸瀹㈡埛鏈嶅姟绋嬪簭锛屾垜浠...
绛旓細涓嶇煡閬撲綘鏄寚鏈ㄩ┈鍚庨棬杩樻槸鎸噑hift鍚庨棬銆傘(鑷繁鐞嗚В鐨)鏈ㄩ┈鍚庨棬鏈:1.绯荤粺鏈ㄩ┈銆佺梾姣掋2.WEB鑴氭湰鏈ㄩ┈:杩欎簺鏈ㄩ┈榛戝淇楃Оwebshell銆傝鍏ヤ镜鑰呭埄鐢,浠庤岃揪鍒版帶鍒剁珯鏈嶅姟鍣ㄧ殑鐩殑銆傝繖浜涚綉椤佃剼鏈父绉颁负WEB鑴氭湰鏈ㄩ┈,鐩墠姣旇緝娴佽鐨刟sp鎴杙hp鏈ㄩ┈,涔熸湁鍩轰簬.NET鐨勮剼鏈湪椹笌JSP鑴氭湰鏈ㄩ┈銆3.shift鍚庨棬:windows绯荤粺鐨勪竴绉嶅悗闂ㄣ傛寜浜...
绛旓細灏辨槸璁╂敾鍑昏呭彲浠ュ湪浠ュ悗鐨勬棩瀛愰噷鍙互闅忔椂杩涜杩炴帴鐨勪笢瑗锛屼笉涓瀹氭槸绋嬪簭锛屽彲鑳戒細鍦ㄤ綘鐨勭郴缁熼噷闈㈢暀涓涓悗闂ㄨ处鎴凤紝鍙互闅忔椂杩涜杩滅▼妗岄潰杩炴帴鐨勫悗闂ㄨ处鎴枫傜綉缁滀腑鏈ㄩ┈鍚庨棬鏈:绯荤粺鏈ㄩ┈銆佺梾姣掋2.WEB鑴氭湰鏈ㄩ┈:杩欎簺鏈ㄩ┈榛戝淇楃Оwebshell銆傝鍏ヤ镜鑰呭埄鐢紝浠庤岃揪鍒版帶鍒剁珯鏈嶅姟鍣ㄧ殑鐩殑銆傝繖浜涚綉椤佃剼鏈父绉颁负WEB鑴氭湰鏈ㄩ┈锛...
绛旓細鍦ㄤ俊鎭畨鍏ㄩ鍩燂紝鍚庨棬鏄寚缁曡繃瀹夊叏鎺у埗鑰岃幏鍙栧绋嬪簭鎴栫郴缁熻闂潈鐨勬柟娉銆傚悗闂ㄧ殑鏈涓昏鐩殑灏辨槸鏂逛究浠ュ悗鍐嶆绉樺瘑杩涘叆鎴栬呮帶鍒剁郴缁銆備富鏈轰笂鐨勫悗闂ㄦ潵婧愪富瑕佹湁浠ヤ笅鍑犵锛氣憼鏀诲嚮鑰呭埄鐢ㄦ楠楃殑鎵嬫锛岄氳繃鍙戦佺數瀛愰偖浠舵垨鑰呮枃浠讹紝骞惰浣夸富鏈虹殑鎿嶄綔鍛樻墦寮鎴栬繍琛岃棌鏈夋湪椹▼搴忕殑閭欢鎴栨枃浠讹紝杩欎簺鏈ㄩ┈绋嬪簭灏变細鍦ㄤ富鏈轰笂鍒涘缓涓...
绛旓細棣栧厛锛鍚庨棬鏄竴绉嶈绠楁満瀹夊叏婕忔礊锛屽畠鍏佽鏈粡鎺堟潈鐨勭敤鎴风粫杩囨甯哥殑韬唤楠岃瘉鏈哄埗锛屼粠鑰岃幏寰楀绯荤粺鐨勯潪娉曡闂潈闄愩傚悗闂ㄩ氬父鏄敱榛戝鍦ㄧ郴缁熶腑绉樺瘑瀹夎鐨勶紝浠ヤ究鍦ㄦ棩鍚庤兘澶熼噸鏂拌繘鍏ヨ绯荤粺銆傚悗闂ㄥ彲浠ユ槸杞欢涓殑婕忔礊銆佹湭鎺堟潈鐨勮繙绋嬭闂伐鍏锋垨鎭舵剰杞欢鐨勪竴閮ㄥ垎銆傞粦瀹㈠埄鐢ㄨ繖浜涘悗闂ㄥ彲浠ョ獌鍙栨晱鎰熶俊鎭佺牬鍧忕郴缁熸垨杩涜鍏朵粬鎭舵剰...
绛旓細鍚庨棬鏄寚鎴块棿鑳屽悗鍙互鑷敱鍑哄叆鐨勯棬锛岃绠楁満涓寚缁曡繃瀹夊叏鎬ф帶鍒惰岃幏鍙栧绋嬪簭鎴栫郴缁熻闂潈鐨勬柟娉曘傚湪杞欢鐨勫紑鍙戦樁娈碉紝绋嬪簭鍛樺父浼氬湪杞欢鍐呭垱寤哄悗闂ㄤ互渚垮彲浠ヤ慨鏀圭▼搴涓鐨勭己闄枫傚鏋滃悗闂ㄨ鍏朵粬浜虹煡閬擄紝鎴栬呭湪鍙戝竷杞欢涔嬪墠娌℃湁鍒犻櫎锛岄偅涔堝畠灏辨垚浜嗗畨鍏ㄩ殣鎮c傜壒鐐 鍚庨棬鍖呮嫭浠庣畝鍗曞埌濂囩壒锛屾湁寰堝鐨勭被鍨嬨傜畝鍗鐨勫悗闂鍙兘...
绛旓細鐢佃剳缃戠粶涓鐨鈥鍚庨棬鈥濆嵆鏄綉缁滅殑婕忔礊,鍙兘琚榛戝鍒╃敤鐨勬紡娲炪 鏈洖绛旇缃戝弸閲囩撼 宸茶禐杩 宸茶俯杩< 浣犲杩欎釜鍥炵瓟鐨勮瘎浠锋槸? 璇勮 鏀惰捣 鏂规暀鍗寸繝鑺 2019-04-16 路 TA鑾峰緱瓒呰繃3655涓禐 鐭ラ亾澶ф湁鍙负绛斾富 鍥炵瓟閲:3042 閲囩撼鐜:26% 甯姪鐨勪汉:165涓 鎴戜篃鍘荤瓟棰樿闂釜浜洪〉 鍏虫敞 灞曞紑鍏ㄩ儴 灏辨槸璁...
绛旓細3. 鍚庨棬绋嬪簭锛岀被浼间簬鐗规礇浼婃湪椹紙鍗斥滄湪椹濓級锛屽叾鐩殑鏄湪鐢佃剳涓綔浼忥紝鎼滈泦淇℃伅鎴栦负榛戝鎻愪緵杩涘叆绯荤粺鐨勯斿緞銆備笌鐢佃剳鐥呮瘨鏈澶х殑鍖哄埆鍦ㄤ簬锛屽悗闂ㄧ▼搴忎笉涓瀹氬叿鏈夎嚜鎴戝鍒剁殑鍔ㄤ綔锛屼篃灏辨槸璇达紝瀹冧笉涓瀹氫細鈥滄劅鏌撯濆叾浠栫數鑴戙4. 鍚庨棬绋嬪簭鏄竴绉嶇櫥褰曠郴缁熺殑鏂规硶锛屽畠涓嶄粎鑳藉缁曡繃绯荤粺鐜版湁鐨勫畨鍏ㄨ缃紝杩樿兘鍏嬫湇绯荤粺涓...
绛旓細鍙互鏄悇绉嶇郴缁燂紝濡倃indows銆乴inux銆乽nix绛夛紝鏇村彲浠ユ槸涓瀹跺叕鍙搞佷紒涓氥佸鏍$敋鑷虫槸鏀垮簻鍐涢槦鐨鏈嶅姟鍣ㄣ傛墍璋撶數鑴戣倝楦★紝灏辨槸鎷ユ湁绠$悊鏉冮檺鐨勮繙绋嬬數鑴戯紝涔熷氨鏄彈榛戝杩滅▼鎺у埗鐨勭數鑴戙傝倝楦′笉鏄悆鐨勯偅绉嶏紝鏄腑浜嗘湪椹紝鎴栬呯暀浜鍚庨棬锛屽彲浠ヨ杩滅▼鎺у埗鐨勬満鍣紝璁稿浜烘妸鏈塛EBSHELL鏉冮檺鐨勬満鍣ㄤ篃鍙倝楦°
