后门技术和Linux LKM Rootkit详细解析

　　1.“.rhosts”文件。一旦"++"被加入某个用户的.rhosts文件里,任何人在任何地方都可以用这个账号来登陆进来而不需要密码。

　　2.ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里,他可以用该账号来访问机器而不需要密码。

　　3.Bindshell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp,甚至icmp协议。

　　4.Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如,利用inetd服务在一个特定的端口来创建一个bindshell，或者通过ssh守护进程提供访问途径。

　　在入侵者植入和运行后门程序之后,他会找一些方法和系统管理员开一些善意的玩笑。这主要涉及到两个方面问题:如何来隐藏他的文件且如何来隐藏他的进程。

　　为了隐藏文件,入侵者需要做如下事情:替换一些系统常用命令如"ls","du","fsck"。在底层方面,他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。

　　为了隐藏进程,他可以替换"ps"程序,或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。

　　LKM——还有比这个更美的么?

　　我们已经看到过一些常规的技术。现在的问题是:系统管理员可以找出它们么？实际上,一个好的系统管理员可以很轻易的找出它们中的%99。问题是入侵者必须修改或者创建一些重要文件。如果系统管理员保存一份"tripwire"数据库,通过这些可以确定安全隐患的存在。通过浏览文件系统可以去掉suid程序,“.rhosts”文件,等。