日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

圖 Solaris服務(wù)器防范rootkit攻擊攻略( 二 )

云知道



(4)login;-;能夠紀(jì)錄任何使用者名稱,包含;root;登入的密碼 。

(5)bd2;-;安全程序;rpcbind;允許攻擊者在受害主機(jī)上執(zhí)行任意程序代碼 。

安全程序程序

(1)inetd;-;安全程序;inetd;可以替攻擊者打開遠(yuǎn)程登入的通訊端口,只要輸入密碼就可以取得;root;的權(quán)限 。

(2)rshd;-;替攻擊者提供遠(yuǎn)程的;shell 。

(3)rsh;-;透過;rsh;可以取得;root;的密碼 。

(4)sshd;-攻擊者以特定賬號密碼登入就能擁有;root;shell;的權(quán)限 。

監(jiān)聽程序

(1)linsniffer;-;linux;小型的監(jiān)聽程序 。

(2)sniffchk;-;這個(gè)程序可以檢驗(yàn)與確認(rèn)網(wǎng)絡(luò)監(jiān)聽程序是否正在執(zhí)行 。

(3)le;-;Solaris;Ethernet;封包的監(jiān)聽程序 。

(4)snif;-;linux;其它封包的監(jiān)聽程序 。

(5)sniff-10mb;-;這是一個(gè)設(shè)計(jì)來監(jiān)聽;10mbps;Ethernet;的監(jiān)聽程序 。

(6)sniff-100mb;-;這是一個(gè)設(shè)計(jì)來監(jiān)聽;100mbps;Ethernet;的監(jiān)聽程序 。

其它種類-

(1)fix;-;安裝安全程序時(shí);(例如:ls);更改的時(shí)間戳記與檢驗(yàn)封包值的訊息 。

(2)wted;-;wtmp;的編輯程序 ??勺尮粽咝薷?wtmp 。

(3)z2;-;移除;wtmp/utmp/lastlog 。

(4)bindshell;-;把;rootshell;與某個(gè)通訊端口結(jié)合在一起 。(預(yù)設(shè)埠號為;31337)

(5)zap3;-;攻擊者會(huì)從;wtmp,;utmp,;lastlog,;wtmpx;和;utmpx;移除他們的蹤跡

。zap3;通常根據(jù)下列目錄來找尋紀(jì)錄文件的位置,例如;/var/log,;/var/adm,

/usr/adm,;與;/var/run 。

2.內(nèi)核級別rootkit

內(nèi)核級別rootkit;是比應(yīng)用層級別;rootkit;功能更強(qiáng)大的;rootkit 。內(nèi)核級別rootkit

透過操作與利用;kernel,已成為最難被發(fā)現(xiàn);rootkit,因?yàn)樗軌蛟趹?yīng)用層檢查中,建立一條繞過檢驗(yàn)的通道 。雖然這種軟件主要是針對;linux;所制作,但它可能被修改來針對某個(gè)通訊端口或者是其它的操作系統(tǒng)來做攻擊,一旦被安裝在目標(biāo)主機(jī)上,系統(tǒng)就可說是完全被安全所控制,系統(tǒng)管理員甚至根本找不到安全隱藏的蹤跡 。內(nèi)核級別rootkit;是如何運(yùn)作的呢?;它基本上是利用;LKM『Loadable;Kernel;Module』的功能讓攻擊者做出非法的動(dòng)作 。LKM;在;linux;或其它系統(tǒng)中都是非常有用的工具,支持;LKM;的系統(tǒng)包含;FreeBSD;與;Solaris 。操作系統(tǒng)里面有一些函數(shù)被系統(tǒng)用來建構(gòu);kernel,當(dāng)這些函數(shù)遭到假冒與竄改,主機(jī)就不能再被信任了 。下面針對內(nèi)核級別rootkit;的一些運(yùn)作方式來做介紹:

(1)隱藏程序;-;在;unix;執(zhí)行過程中,程序的紀(jì)錄訊息會(huì)存放于文件系統(tǒng)中的;"/proc",隱藏程序可以操作;sys_getdents();系統(tǒng)呼叫函數(shù),在程序的架構(gòu)里就看不見這些附加且正在執(zhí)行的程序 。

(2)隱藏網(wǎng)絡(luò)連結(jié);-;類似于隱藏程序,網(wǎng)絡(luò)連結(jié)會(huì)紀(jì)錄在;"/proc/net/tcp";與;"/proc/net/udp";這兩個(gè)文件之中,執(zhí)行;Kernel;rootkit,無論何時(shí)讀取這兩個(gè)文件,都會(huì)隱藏攻擊者的蹤跡,不讓用戶知道 。

(3)隱藏;LKM;的信號;-;通常;LKM;的默認(rèn)值是可被看見的,這樣是為了方便其它使用者也可以使用 。攻擊者必須使用;"EXPORT_NO_SYMBOLS";命令隱藏這些信號,以防止任何信號被泄漏出去 。

(4)利用;LKM;傳遞訊息;-;LKM;Kernel;rootkit;安裝完成之后,攻擊者若要通知kernel;隱藏另一文件,可透過;Kernel;rootkit;來替換;sys_settimeofday() 。之后只要透過一些特別的參數(shù),就可以請求系統(tǒng)來完成攻擊者想要完成的事情 。

(5)改變文件的執(zhí)行;-;有時(shí)攻擊者可能想要替換掉某些文件,例如;"login",但并不想要更改文件,此時(shí);Kernel;rootkit;可以替換;sys_execve() 。這樣系統(tǒng)會(huì)持續(xù)執(zhí)行;"login";并泄漏;"login";程序的版本給攻擊者 。

目前最流行的內(nèi)核級別rootkit,包含;linux;上的;knark;與;Solaris;上的Loadable;Kernel;Module,其中;knark;還包含了以下的程序:

推薦閱讀