Cladiri de back-up non-standard în * nix. Cum să vă creați propriul backdoor neobișnuit
Xakep, număr # 046, pp. 046-054-1
Există multe modalități de a rămâne în sistem. În prezent, sunt utilizate două abordări: selectarea parolei și descărcarea din următoarea pachet de date și instalarea ulterioară a unui backdoor încorporat de w00w00. Prima metodă, ca opțiune pentru cele mai talentați, nu va mai fi luată în considerare. Cel de-al doilea are dreptul la viata, de asemenea, va fi trimis - suntem dupa toate personalitatile creative si nu este nevoie sa folosim binele altcuiva :). În plus, de fapt, chiar dacă scrii pe o astfel de creativitate, este totuși o metodă destul de periculoasă - nimeni nu poate garanta că rădăcina / backdoor proaspăt rădăcină nu este prinsă de un alt magazin. Ce a rămas pentru noi? Așa e. Pentru a merge pe cea de-a treia cale fără precedent: pentru a obține un pic de aburi și a da în consecință ceea ce se numește acum privat 133t w4r3z.
Apoi, vom lua în considerare doar câteva moduri în care puteți să uitați mai mult sau mai puțin cu adevărat sistemul. Deși informațiile de mai jos se aplică sistemelor Unix, nu există restricții practice pentru a observa același lucru în produsele din birou cu un "M".
Din nou, în ciuda faptului că este puțin plictisitor, vom examina problema în mod oficial. Ce acțiuni ar trebui să aibă un backdoor bun? În primul rând, acestea sunt acțiuni care trebuie protejate de administratorul din cadrul sistemului. În al doilea rând - protecția împotriva detectării în cadrul rețelei în care se află mașina ambalată - la urma urmei, administratorii, deși sunt administratori, dar nu evită diverse sniffers, scanere, alte utilități care ne pot duce la apă curată.
Protecție locală de la administrator
Să mergem în ordine. Cum sa te protejezi de admin? Pentru aceasta, trebuie să-i reprezentăm logica. Ce face administratorul atunci când are suspiciuni, dar în jurnale, cum se întâmplă de obicei, goliciunea :)? Iată o listă incompletă a celor mai frecvent utilizate tehnici:
1. Verificați dacă există procese suspecte în sistem.
2. Verificați conexiunile suspecte cu gazda.
3. Căutați înregistrări "stânga" în configurații standard, cum ar fi /etc/inetd.conf, / etc / passwd, fișiere rc etc.
4. Verificați data modificărilor, mărimea și sumele de control ale fișierelor critice (fișierele și fișierele suid'nye, demonii etc.) în cazul în care am reușit să le modificăm.
Există, desigur, multe modalități de a calcula infecția pe mașină, dar acestea sunt fie variante ale celor de mai sus, fie nu sunt folosite atât de des. Firește, un backdoor bun nu ar trebui să "strălucească" la toate aceste verificări sau să reducă la minimum această "expunere".
Ascundeți din lista de procese