UNIX后门检测白皮书.pdfVIP

目录： 一。常用账号后门 二。Rhosts++ 后门 三。二进制木马后门 四。Daemon 服务后门 五。Cronjob后门 六。动态库后门 七。LKM 后门 八。Sniffer 后门 一。常用账号后门 检查如下账号的口令是否被改变用作后门： bin，daemon，adm，lp，sync，shutdown，halt，mail，news，uucp，games gopher，ftp，nobody，xfs，named，gdm，sys，nuucp，listen 特别是对上面的这些账号检查/etc/passwd， user_name :passwd :uid :gid :note :home_directory :shell 查看shell 字段是否被改为诸如/bin/sh 之类的。 二。Rhosts++ 后门 检查/etc/hosts.equiv 和每个用户的$HOME/rhosts，查看是否增加了信任主机。 三。二进制木马后门 二进制木马后门是在系统的二进制可执行程序中置入后门，方法是把这些可执行程序 替换成特洛伊(trojan)木马程序。这或者是通过篡改源代码重新编译来实现，或者是 借助工具直接向程序文件中加入代码来实现。 对这类后门检查的第一步是检查时间戳与校验和。如果已经对文件用诸如tripwire 这类工具作了时间戳与校验和记录，检查时间戳与校验和。如果没有，用ls-l和 stat检查时间戳，查看是否有明显不符的。如果发现不符，极可能是被替换成特洛 伊木马置入后门了，仔细作进一步查证。 对于网络应用程序，运行它，用netstat 和lsof命令查看有没有什么不正常的行 为。尤其是查看有没有什么不正常的端口被打开，有没有什么不正常的文件被打开。 详细情况参看daemon 服务后门一节相关内容。如果有这些异常出现，极可能作了 后门，作进一步查证。 作进一步查证时，第一步是用strings命令查找程序中有没有异常字符串。第二步， 如有必要，需要对二进制代码与干净程序进行比较。动态库后门一节中给了一个 shell 脚本，用来做这件事。 对这类后门，重点进行检查的是这样一些程序： 1。Linux 系统： in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.ntalkd、 in.dtalkd、ipop2d、ipop3d、imapd、uucico、in.tftpd、bootpd、in.fingerd、 in.cfingerd、in.identd、sat init.d 目录中下面这些脚本调用的二进制可执行程序： anacron apmd arpwatch atd crond functions gpm halt httpd httpd.orig identd inet ipchains ipsec irda kdcrotate keytable killall kudzu linuxconf lpd named netfs network nfs nfslock pcmcia portmap random rstatd rusersd rwalld rwhod sendmail single snmpd syslog xfs ypbind yppasswdd ypserv 2。Solaris 系统： in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.tnamed、 in.uucpd、in.tftpd、in.fingerd、sadmind、rquotad、rpc.rusersd、rpc.sprayd、 rpc.rwalld、rpc.rstatd、rpc.rexd、rpc.ttdbserverd、rpc.cmsd、kcms_server、 ufsd、fs.auto、cachefsd、kerbd、in.lpd、gssd、dtspcd、sat init.d 目录中下面这些脚本调用的二进制可执行程序： ANNOUNCE MOUNTFSYS PRESERVE RMTMPFILES ab2mgr afbinit audit autofs autoinstall buildmnttab cachefs.daemon cachefs.