“后门”的攻击与防御

核心提示： 首先去下载一个ssh的源程序包，用ftp or wget 都随你高兴，“后门”的攻击与防御(6)，下载之后解包，安装这些都是很普通的，写一个名字是ps的shell，丢到我们的目录下，值得一提的是，如果觉得有必要可以加参数—prefix指定安装到某目录

首先去下载一个ssh的源程序包，用ftp or wget 都随你高兴。

下载之后解包，安装这些都是很普通的。值得一提的是，如果觉得有必要可以加参数—prefix指定安装到某目录，找个比较深的子目录藏吧。

好了，接着改sshd.conf，设置一下需要的参数，把端口号随便改一个，之后就运行看看？相信已经启动起来了，如果你还不会设置sshd，那么先自己找台机器练习一下吧，攻击时候的时间可是分秒必争的哦。

好的，接下来我们就转到ssh里去做了。

恩，先把我们需要的tfn2k编译运行起来——在编译的时候可能会遇到一点麻烦就是gcc版本问题，不过可以通过特殊的参数设置来搞定，如果对方的操作系统和你的相同那么可以先本地编译后直接丢可执行文件上去。

结束了？？没有！！这才是刚刚开始，后门程序的难点不是如何放到服务器上，和如何运行起来，而是如何让自己尽量不被管理员发现，以作它用。

好了，现在回忆一下，通过哪些途径有可能发现我们运行着的这个程序呢？？

ps命令 发现后门程序进程
　　netstat 命令 发现监听端口异常
　　top 查看时发现

现在我们依次来想想隐藏的对应方法：

top命令中只显示进程名而不显示路径，我们可以用一个比较like系统正式进程的名字蒙混过去，例如在config.h中将tfn2k的进程名改为snnpd这样容易和snmpd相似的名字；

ps命令。。。如果有办法能够把ps命令中的关于我们程序那行去掉不是就ok了？？ok，写一个名字是ps的shell，丢到我们的目录下，比如/home/skylove (模拟了啦，用个简单点的)