本文目录一览:
后门程序有记录吗
有
后门程序具有很多类型,包括网页后门程序、线程插入后门程序、扩展后门程序。后门程序可以被不同的黑客来使用,有的黑客用来破解账号密码,有的黑客用来存取系统,有的黑客用来修改系统权限,有的黑客可能用来植入木马程序,并且完全控制系统。
后门程序的经典案例
Back Orifice是一款非常著名的黑客程序,由电脑黑客Cult of deal cow所开发,可以揭示微软操作系统的内在隐患后门程序Rootkit,这个软件与微软的一款软件产品同名。Back Orifice利用了微软系统的内部后门程序,来控制另外一台电脑的运行。在没有防火墙软件的情况时,Back Orifice可以检测到用户密码,并记录用户按键情形,以盗取用户的个人信息。
Word Press作为世界上最流行的博客内容管理软件,也存在着插件后门程序。其团队的程序员发现Word Press的内部一些插件具有安全隐患,容易被恶意突破,然后来窃取用户的管理员密码。
开源服务器程序ProFTPD也曾被放入后门程序,黑客通过后门获得系统控制权限后,进行内容修改等操作,严重影响了数据库的安全。
什么叫后门程序
分类: 电脑/网络 硬件
解析:
后门程序,跟我们通常所说的"木马"有联系也有区别.
联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制.
区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一.
而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样.
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。
黑客中说的后门什么意思
一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。
密码破解后门
这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。
Login后门
在Unix里,login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。
Telnetd后门
当用户telnet到系统,监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验,比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门,当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门,对来自特定源端口的连接产生一个shell。
服务后门
几乎所有网络服务曾被入侵者作过后门。 Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序,同时置入后门。
库后门
几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门;象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。
内核后门
内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。
Boot块后门
在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。
隐匿进程后门
入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序(sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行,因此当管理员用"ps"检查运行进程时,出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是
amod.tar.gz :
网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了。
黑客后门是什么意思
后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。[1]
后门程序,跟我们通常所说的"木马"有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称"木马"),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。
后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是Trojan字样。
查杀木马过程中出现了后门程序,什么是后门程序啊?
后门程序,就是相当给你的电脑搞了一个后门,黑客可以通过留下的后门来登入你电脑。
电脑后门是什么意思?
分类: 电脑/网络 反病毒
问题描述:
就是黑客进别人电脑留下后门,我不知道这个什么意思。那位大哥大姐知道啊?那个有这类的教程 要准确点的啊,自己知道也可以给我写出来的谢谢
解析:
每一个电脑端口就是一个后门有后门黑客就有可乘之机
电脑后门三种关法
电脑为什么会被“入侵”?首先,我们先来谈谈个人电脑入侵的原理。我们可以把一台已联网的个人电脑当做是一台几乎所有常用端口(Tel、FTP等)都被封闭的服务器。那么从攻击手段上来讲,常用的端口查询法就失灵了。但是,由于服务器的端口最大可以有65535个,实际上常用的端口才几十个,可以看出未定义端口相当的多。这就表示我们可以采用某种方法定义出一个特殊的端口来达到入侵的目的。为了定义出这个端口,就要依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开那个特殊的端口。这个程序就是“后门”程序。简单的说,我们先通过某种手段在一台个人电脑中植入一个程序,使这台机器变成一台开放性极高(用户拥有极高权限)的FTP服务器,然后就可以达到侵入的目的。
很明显,光有“后门”程序是不够的。一个好的控制工具一般分成两个部分:一个是Client,也就是客户服务程序,我们用它来控制已经打开后门的机器;另一个是Trojan/Host,也就是“后门”程序了,我们用它来开放某台机器。假设我们想控制机器A。那么我们通过一些手段来把“后门”程序传到机器A上并使其运行之,这样A就变成了一台特殊FTP的服务器,然后我们使用Client程序就可以控制A了。
当然了,后门程序如果不运行也就无法发挥作用。因此,我们再来讲讲如何“诱骗”他人使用后门程序。如果是朋友,去他机器那儿偷偷地装上就行了。但是,我们主要的对象是不熟悉的人,那就需要一些方法了。第一,我们先要和他搞好关系,然后就可以问他:“我有一个不错的程序要不要看看?”或者“给你一张我的照片怎么样?”当那个可怜的人说“行呀!给我传过来吧!”我们的第一步就达成了:)。第二步就是伪装术了。简单一些的话是直接把后门程序改名,改成一些常见的名称如ICQNuke、Readme等或者更改后缀,变成TXT或者图片文件格式。这样当他双击这些伪装的程序后就达到了运行的目的了。复杂一些的方法是利用Winzip的SelfExtrator软件把后门程序和一些其它的东西一起制作成一个自解压的压缩包,然后利用设定解压后自动运行Setup程序的功能来运行指定的“后门”程序。这样当他双击自解压程序后,还没等回过味来,程序就已经运行完了。对于高手来说,他们经常会编写一些程序,把“后门”藏在其中。
最后,当你知道了他的IP后,就可以利用客户服务程序去接管目标机器了。
我们已经知道了常用的“诱骗”方法,那么该如何预防后门程序的植入呢?第一,不要随便接受陌生人发来的电子邮件、文件。第二,喜欢聊天的朋友不要轻易暴露自己的IP(大部分人上网的IP都是动态分配的,因此,只要不随便暴露IP,就能较为有效地防止他人入侵)。第三,不要用Windows自带的密码记忆功能来存放你ISP的密码,这种密码保存在Windows/目录下,后缀是PWL的文件中。
《北京青年报》 2000年07月05日