专栏首页黑白安全常见后门解释

常见后门解释

现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。在网络的世界也存在后门之说,后门的产生有些是自己人为了方便管理留下的,也有的是别有用心之人在获得目标权限之后故意留在隐蔽的地方只有自己知道,主家对其一无所知,以便别有用心之人方便进入公司内部窃取资料。

后门可能存在于哪里呢?可以说,后门无处不在,它可以被留在任何地方,比如,公司暴露在外网的各种应用服务器、公司内网员工办公电脑以及员工个人手持设备等。

后门从其连接特性上可以分为两类,一是主动型、二是被动型。主动型后门像回连木马,它会在特定的时间向控制端发送连接请求,一旦连接成功,就形成一个后门通道然后就可以为所欲为。被动型后门像web服务器的webshell,可以通过主动连接webshell实现对公司内网的访问。

后门的存在大部分的情况是在公司内部已经被入侵的情况下,如何清理后门是作为安全人员的一大难题,想要清理后门必须要对后门的种类、可能存在位置以及不同后门的特性了如指掌,需要知道攻击者留后门的各种手法,你只有懂的比攻击者多那么你才能发现它留下后门的踪迹。下面我们就简单的来聊聊针对Windows以及linux系统的相关后门的技术。

Windows:

1、账号后门

账号后门可以是添加一个特权账号,这种方式比较容易被管理员发现,是最简单也是最容易被发现的做法,还有就是通过抓取管理员的账号,选择在管理员不在线的时候使用管理员的账号对目标系统进行访问。

2、Shift后门

我们知道windows系统在到达远程登录界面的情况下,连续点击五次shift会激活c:winowssystem32setchx.exe,我们可以用我们的后门程序代替这个程序,然后点击五次shift激活我们的后门。以此类推,我们在远程登录界面的情况下能使用程序都可以利用像放大镜后门。

3、木马后门

远控木马的种类很多,像Gh0st、灰鸽子、冰河等。

4、其他服务后门

对于IIS服务器,可以留webshell后门、也可以修改iis的配置(http://blog.chinaunix.net/uid-28980746-id-4290275.html)。Windows是一个庞大的系统可以利用的地方很多,我不可能一一举例。

Linux:

1、账号后门

这个类似于Windows的账号后门

2、Suid shell后门

将/bin/bash复制到/tmp/.backsh后,添加执行权限,然后我们在普通账号权限下执行/tmp/.backsh后会多的一个root权限的shell。

3、回连后门

类似于Windows的木马程序在特定的时间主动连接控制端,形成一个远程shell。

4、服务后门

通过修改Linux上运行的各种服务,以特定的方式激活后门程序,如rootkit、web服务器的webshell等。Linux的服务也很多,可以利用的地方很多,我所提到的仅仅是九牛之一毛。

提了这么多的后门技术,我们如何查找这些后门呢?

1、对于账号类后门,我们可以监控账号变更、使用情况,这个还是比较容易发现问题并且得到解决。

2、对于文件修改型后门,我们扫描文件系统的MD5值并进行对比用来发现可能被修改的文件,然后手动分析。

3、对于回连型后门,可以借助IDS设备根据回连后门的特性来监听到目标机器的可以网络。这个方法不只是可以发现回连型后门,因为所有的后门都有一个特性,最终目的是为了给攻击者创造一个进入内网的通道,最终都会以流量的方式通过安全设备,一旦发现网络异常,我们就可以有针对性的去检查异常的源头,逐步排查问题存在的根源,然后再根据不同类型后门的特性去查找后门。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 后门攻击

    后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并...

    C4rpeDime
  • 木马伪装-后门木马变形记

    在做安全测试时,种个后门养个马在所难免,常见的后门有exe、bat、scr、vb等格式,可是凡是有点安全意识的都不会去下载、双击打开,那给后门穿件衣裳可好。me...

    C4rpeDime
  • 针对某mysql批量提权工具的后门分析

    Windows小马下载地址三个......VBS执行脚本1个   linux小马下载地址连个.....

    C4rpeDime
  • APT对抗(一) 红蓝对抗关于后门对抗

    当我们接到某个项目的时候,它已经是被入侵了。甚至已经被脱库,或残留后门等持续攻击洗库。

    安恒网络空间安全讲武堂
  • 后门攻击

    后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并...

    C4rpeDime
  • 第一季从攻击者角度来对抗

    当我们接到某个项目的时候,它已经是被入侵了。甚至已经被脱库,或残留后门等持续攻击洗库。

    信安之路
  • APT攻防之关于后门那些事

    这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。

    信安之路
  • 【译】npx简介:一种npm包的执行器

    那些将npm升级到npm@5.2.0或以上的用户,会发现与通常的npm平级的文件夹中还多了另一个二进制文件:npx

    腾讯IVWEB团队
  • 跨平台后门Mokes现已加入OS X豪华午餐

    近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。 根据...

    FB客服
  • 【重磅】阿里CEO:“电子商务”未来将会消失

    如果以未来的视角观察今天的变革,我们就可以预见,未来所有的商业、业务、产业都是互联网的。届时,互联网这个概念会消失。因为它已经无处不在。

    曾响铃

扫码关注云+社区

领取腾讯云代金券