常见后门解释

业务安全 2017-12-03

现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。在网络的世界也存在后门之说,后门的产生有些是自己人为了方便管理留下的,也有的是别有用心之人在获得目标权限之后故意留在隐蔽的地方只有自己知道,主家对其一无所知,以便别有用心之人方便进入公司内部窃取资料。

后门可能存在于哪里呢?可以说,后门无处不在,它可以被留在任何地方,比如,公司暴露在外网的各种应用服务器、公司内网员工办公电脑以及员工个人手持设备等。

后门从其连接特性上可以分为两类,一是主动型、二是被动型。主动型后门像回连木马,它会在特定的时间向控制端发送连接请求,一旦连接成功,就形成一个后门通道然后就可以为所欲为。被动型后门像web服务器的webshell,可以通过主动连接webshell实现对公司内网的访问。

后门的存在大部分的情况是在公司内部已经被入侵的情况下,如何清理后门是作为安全人员的一大难题,想要清理后门必须要对后门的种类、可能存在位置以及不同后门的特性了如指掌,需要知道攻击者留后门的各种手法,你只有懂的比攻击者多那么你才能发现它留下后门的踪迹。下面我们就简单的来聊聊针对Windows以及linux系统的相关后门的技术。

Windows:

1、账号后门

账号后门可以是添加一个特权账号,这种方式比较容易被管理员发现,是最简单也是最容易被发现的做法,还有就是通过抓取管理员的账号,选择在管理员不在线的时候使用管理员的账号对目标系统进行访问。

2、Shift后门

我们知道windows系统在到达远程登录界面的情况下,连续点击五次shift会激活c:winowssystem32setchx.exe,我们可以用我们的后门程序代替这个程序,然后点击五次shift激活我们的后门。以此类推,我们在远程登录界面的情况下能使用程序都可以利用像放大镜后门。

3、木马后门

远控木马的种类很多,像Gh0st、灰鸽子、冰河等。

4、其他服务后门

对于IIS服务器,可以留webshell后门、也可以修改iis的配置(http://blog.chinaunix.net/uid-28980746-id-4290275.html)。Windows是一个庞大的系统可以利用的地方很多,我不可能一一举例。

Linux:

1、账号后门

这个类似于Windows的账号后门

2、Suid shell后门

将/bin/bash复制到/tmp/.backsh后,添加执行权限,然后我们在普通账号权限下执行/tmp/.backsh后会多的一个root权限的shell。

3、回连后门

类似于Windows的木马程序在特定的时间主动连接控制端,形成一个远程shell。

4、服务后门

通过修改Linux上运行的各种服务,以特定的方式激活后门程序,如rootkit、web服务器的webshell等。Linux的服务也很多,可以利用的地方很多,我所提到的仅仅是九牛之一毛。

提了这么多的后门技术,我们如何查找这些后门呢?

1、对于账号类后门,我们可以监控账号变更、使用情况,这个还是比较容易发现问题并且得到解决。

2、对于文件修改型后门,我们扫描文件系统的MD5值并进行对比用来发现可能被修改的文件,然后手动分析。

3、对于回连型后门,可以借助IDS设备根据回连后门的特性来监听到目标机器的可以网络。这个方法不只是可以发现回连型后门,因为所有的后门都有一个特性,最终目的是为了给攻击者创造一个进入内网的通道,最终都会以流量的方式通过安全设备,一旦发现网络异常,我们就可以有针对性的去检查异常的源头,逐步排查问题存在的根源,然后再根据不同类型后门的特性去查找后门。


本文由 myh0st 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论