黑客初级技术概述

核心提示： <4>Login后门在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改，黑客初级技术概述(9)，使它在比较输入口令与存储口令时先检查后门口令，如果用户敲入后门 口令，那么每晚有一个小时可以获得访问，也可以查看cro

<4>Login后门

在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至 是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效. 所以更多的管理员是 用MD5校验和检测这种后门的。

<5>Telnetd后门

当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端. 典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产 生一个shell。

<6>服务后门

几乎所有网络服务曾被入侵者作过后门. Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

<7>Cronjob后门

Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序 使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。