Iniziando Backdoors Automaticamente

Share

|

Quando un attacker si rompe in un sistema ed installa un backdoor, lui o lei attiva solitamente manualmente il programma backdoor. Tuttavia, quando i ceppi del attacker dalla dalla vostro macchina, lui o lei non è più dentro controllo diretto del sistema. Così, che cosa mantiene che il funzionamento backdoor su una base giornaliera dopo il tipo difettoso ha andato? Supponga i reboots pesky del coordinatore di sistema il sistema, o più difettoso ancora, la macchina si arresta. Quando la scatola si avvia ancora in su, il backdoor non farà funzionare altro, rifiutando al attacker il suo accesso duro-combattuto. Per rimediare questa preoccupazione, il furfante crafty altera solitamente la macchina per ricominciare automaticamente il backdoor su una base periodica, particolarmente durante il processo del caricamento del sistema del sistema. In questa sezione, discuteremo come i tipi difettosi maneggiano i sistemi per assicurarsi automaticamente i loro backdoors ricominciare. Poiché questi metodi dipendono così pesante dal tipo del sistema, analizzeremo esclusivamente i meccanismi comincianti backdoor di UNIX e di Windows.

Messa in opera Windows Backdoors da iniziare

Le macchine di Windows stanno colando con differenti possibilità automatiche di start-up di programma. Un attacker ha potuto disporre automaticamente il nome di un programma o di uno scritto eseguibile in qualunque di una varietà di posizioni per fare iniziare il sistema operativo quel programma. Generalmente parlando, le macchine di Windows offrono tre tipi differenti di meccanismi per il codice cattivo (o persino nonmalicious) automaticamente avviantesi: una manciata di lime e di dispositivi di piegatura di autostart, una pletora di regolazioni di registrazione e mansioni previste.

Alterazione le lime e dei dispositivi di piegatura startup

Cominciamo dalle lime startup di discussione e la tabella di folders.The sotto descrive parecchie posizioni che attiveranno automaticamente i executables e gli scritti arbitrari su un sistema di Windows quando gli eventi specifici accadono, quale il caricamento del sistema del sistema o su un dato utente che annota nella macchina. Un attacker ha potuto includere il nome di un programma backdoor in c'è ne di questi lime o dispositivi di piegatura per convincerlo per funzionare automaticamente sul sistema di obiettivi.

Lime e dispositivi di piegatura startup di Windows

Nome del dispositivo di piegatura o della lima	Come la lima o il dispositivo di piegatura può essere alterato per attivare automaticamente un backdoor
Dispositivi di piegatura Di Autostart	Il attacker dispone il backdoor o un collegamento ad esso in questi dispositivi di piegatura, che sono attivati alla partenza o mentre un utente apre la sessione al sistema. Su Win95/98/Me, un singolo dispositivo di piegatura tiene queste informazioni, situate a C:\Windows\Start Menu\Programs\StartUp. I sistemi WinNT/2000/XP/2003 includono un dispositivo di piegatura di autostart, connesso solitamente con "tutti gli utenti," così come i diversi dispositivi di piegatura di autostart per i diversi utenti, situati alle seguenti posizioni: WinNT— C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp Win2000— C:\Documents e Settings\[user_name]\Start Menu\Programs\StartUp e (se aggiornato da Windows NT) e C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp WinXP/2003— C:\Documents e Settings\[user_name]\Start Menu\Programs\Startup
Win.ini	Win.ini contiene le informazioni sull'inizializzazione del sistema operativo. Questa lima può essere alterata per iniziare un backdoor in due sensi. In primo luogo, potrebbe direttamente eseguire un programma citato nella lima, usando il testo "run=[backdoor ]" o "load=[backdoor ]". In secondo luogo, potrebbe associare un certo suffisso (per esempio, "doc" o "htm") con un programma backdoor che farebbe funzionare sempre una lima con un tal suffisso è eseguito dal sistema. Questa posizione della lima varia, ma tipicamente è individuata in: Win95/98/Me— C:\Windows\win.ini WinNT/2000— C:\Winnt\win.ini WinXP/2003— C:\Windows\win.ini
System.ini	Questa lima contiene le regolazioni per i fissaggi del sistema. Su Windows 3.X e su Windows 9X, questa lima ha sostenuto "le coperture =" ordine, che è usato per specificare lle coperture dell'utente per lanciare a tempo del caricamento del sistema del sistema. Le coperture saranno il programma di interfaccia principale che tutti gli utenti vedono quando caricano il sistema la macchina. I attackers modificano spesso la linea "shell=explorer.exe" in modo che, invece di cominciare sul GUI dell'esploratore di Windows, il sistema esegua un backdoor mentre i caricamenti del sistema del sistema. Il backdoor allora, a sua volta, inizia le coperture dell'utente reale, che sono solitamente explorer.exe. Sulle versioni più recenti di Windows (WinNT/2000/XP/2003), il sistema operativo ignora "le coperture =" sintassi in System.ini. Di conseguenza, questo metodo non è usato per iniziare un backdoor su questi più nuovi sistemi operativi. Questa lima è situata solitamente nei seguenti posti: Win95/98/Me— C:\Windows\System.ini WinNT/2000— C:\Winnt\System.ini Windows XP/2003— C:\Windows\System.ini
Wininit.ini	Questa lima è generata dai programmi di messa a punto quando il nuovo software è installato e una certa azione è richiesta dal sistema per completare l'installazione dopo reboot. Per esempio, quando installate un nuovo driver dei fissaggi, vostro installi il programma potrebbe incitarlo a reboot il sistema. Poichè il sistema rebooting, un'entrata in Wininit.ini farà funzionare un certo programma durante il processo del caricamento del sistema. Alternativamente, questa lima può essere usata per rubare il nome di qualche eseguibile comunemente usato e per assegnarlo ad un backdoor. Quando è usata, la lima è individuata solitamente in: Win95/98/Me— C:\Windows\wininit.ini WinNT/2000— C:\Winnt\wininit.ini Windows XP/2003— C:\Windows\Wininit.ini
Winstart.bat	Nei più vecchi sistemi di Windows (vittoria 9X), questa lima è usata normalmente per iniziare i vecchi programmi di MS-DOS in un ambiente di Windows. Un attacker ha potuto includere una linea con la sintassi "@[backdoor ]" per fare funzionare un eseguibile e per nasconderlo dall'utente. Se è presente, sarà posizionato tipicamente in C:\Winstart.bat.
Autoexec.bat	Questa lima è relativa soltanto su Windows 95/98 di sistema. È ignorata su Windows me, NT, 2000, XP e 2003. Per la compatibilità a rovescio, sostiene i programmi di lancio da semplicemente compreso una linea che si riferisce alla lima di programma, quale "C:\[backdoor ]". Se è presente, sarà posizionata tipicamente in C:\Autoexec.bat.
Config.sys	Questa lima è relativa soltanto su Windows 95/98 di sistema. È ignorata su Windows me, NT, 2000, XP e 2003. Questa lima carica i driver Ms-DOS-BASATI a basso livello e non è inclusa su alcuni sistemi di Windows. Potrebbe includere una linea per eseguire un backdoor. Se è presente, questa lima è situata solitamente in C:\Config.sys.

Abusi Di Registrazione

Oltre le lime ed i dispositivi di piegatura, parecchie chiavi di registrazione possono essere abusate allo scopo di automaticamente attivare un backdoor. La registrazione è una base di dati gigantesca che alloggiano la configurazione dettagliata del sistema operativo di Windows e vari programmi che sono installati sulla scatola. Ciascuna delle chiavi può essere alterata usando il programma di Regedit.exe, un redattore di registrazione costruito nelle macchine di Windows NT/2000/XP/2003. Se progettate sperimentare con c'è ne di queste chiavi, è estremamente importante che fate un sostegno del vostro sistema prima di tweaking la registrazione. Se alterate casualmente una certa chiave critica nella vostra registrazione, potreste completamente hose la vostra macchina, rendente la unbootable. Così, faccia attenzione prego. Le chiavi critiche di registrazione per i programmi automaticamente partenti sono indicate qui sotto:

Chiavi di registrazione che iniziano i programmi sull'inizio attività o reboot

Chiave Di Registrazione	Scopo della chiave
\CurrentVersion\RunServicesOnce di HKLM\SOFTWARE\Microsoft\Windows	Alcuni programmi sono installati al funzionamento nei precedenti su una macchina di Windows come servizio, quali il web server di IIS o la lima e la stampa che ripartiscono i servizi. Questa chiave di registrazione identifica quali servizi dovrebbero essere iniziati durante il reboot seguente ed il reboot seguente soltanto. Per tutti i caricamenti del sistema successivi, i servizi non saranno iniziati
\CurrentVersion\RunServices di HKLM\SOFTWARE\Microsoft\Windows	Questa chiave di registrazione contiene una lista dei servizi da lanciare ad ogni caricamento del sistema del sistema.
\CurrentVersion\RunOnce di HKLM\SOFTWARE\Microsoft\Windows	Questa chiave di registrazione identifica che si programma (non servizi) dovrebbe essere cominciata durante il reboot seguente ed il reboot seguente soltanto. Per tutti i caricamenti del sistema successivi, i programmi non saranno eseguiti.
\CurrentVersion\Run di HKLM\SOFTWARE\Microsoft\Windows	Questi programmi sono eseguiti durante il caricamento del sistema del sistema.
\CurrentVersion\RunOnceEx di HKLM\SOFTWARE\Microsoft\Windows	Soltanto disponibile su Windows 98 e su me, questa chiave di registrazione indica gli scritti ed i programmi che devono essere fatti funzionare a tempo del caricamento del sistema, ma non dovrebbe essere cominciata come processi separati. Per migliorare l'efficienza, questi programmi non sono fatti funzionare come processi separati, ma preferibilmente sono eseguiti come filetti separati all'interno di vari processi del caricamento del sistema.
\CurrentVersion\Winlogon\Userinit del NT Di HKLM\SOFTWARE\Microsoft\Windows	Questa chiave contiene i nomi dei programmi da eseguire quando tutti i ceppi dell'utente sul sistema. Indica tipicamente il GUI dell'utente
\CurrentVersion\ShellServiceObjectDelayLoad di HKLM\SOFTWARE\Microsoft\Windows	Questa chiave di registrazione attiva i programmi dopo che il GUI di Windows si avvii in su, quale il vassoio del sistema nel angolo destro inferiore di Windows e del relativo soddisfare.
\Windows\System\Scripts di HKLM\SOFTWARE\Policies\Microsoft	Questa chiave identifica i vari scritti che saranno eseguiti quando Windows carica il sistema in su.
\CurrentVersion\Policies\Explorer\Run di HKLM\SOFTWARE\Microsoft\Windows	I programmi identificati da questa chiave di registrazione sono iniziati quando il GUI dell'utente (explorer.exe) è attivato.
\CurrentVersion\RunServicesOnce di HKCU\SOFTWARE\Microsoft\Windows	Questa chiave di registrazione identifica quali servizi dovrebbero essere iniziati la prossima volta un utente apre la sessione, una volta soltanto. Per tutti gli inizio attività successivi, i programmi non saranno eseguiti.
\CurrentVersion\RunServices di HKCU\SOFTWARE\Microsoft\Windows	Questi servizi sono ceppi sempre iniziati dell'utente sul sistema.
\CurrentVersion\RunOnce di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono attivati una volta quando ceppi dell'utente sul sistema.
\CurrentVersion\Run di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono ceppi sempre funzionati dell'utente sulla macchina.
\CurrentVersion\RunOnceEx di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono eseguiti senza iniziare un altro processo del sistema.
\CurrentVersion\Policies\Explorer\Run di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono ceppi ogni volta funzionati dell'utente sul sistema.
\CurrentVersion\Windows\Run del NT Di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono ceppi ogni volta funzionati dell'utente sul sistema.
\CurrentVersion\Windows\Load del NT Di HKCU\SOFTWARE\Microsoft\Windows	Questi programmi sono ceppi ogni volta funzionati dell'utente sul sistema.
\Windows\System\Scripts di HKCU\SOFTWARE\Policies\Microsoft	Questi scritti sono ceppi sempre attivati dell'utente sulla macchina.
HKCR\Exefiles\Shell\Open\Command	Questa chiave indica che i programmi che saranno funzionati in qualunque momento un'altra lima di EXE è eseguito, un caso molto frequente su una macchina di Windows, per essere sicuri!

Whew! Quella è una lista lunga e ugly, ma è importante riconoscere che ci è un lotto terribile dei posti che un attacker potrebbe squirrel via il nome di qualche backdoor terribile diabolico per ottenerlo ha cominciato. Anche se questa lista potrebbe esaurire, non è esauriente. Le attuali e versioni futuro della volontà di Windows probabilmente hanno ancor più regolazioni di registrazione per automaticamente iniziare il software, poichè la complessità di Windows si sviluppa con ogni zona, rilascio ed applicazione successivi del sistema installata.

Si noti che alcune di queste regolazioni di registrazione cominciano con le lettere HKLM ed altre cominciano con HKCU. In entrambi i casi, la H corrisponde all'alveare, un riferimento ad un pezzo della registrazione di Windows. HKLM corrisponde alla macchina locale di chiave dell'alveare ed indica systemwide le regolazioni. HKCU corrisponde all'utente corrente di chiave dell'alveare ed identifica le regolazioni per la persona attualmente annotata nella macchina di Windows. La maggior parte del momento, per cominciare sui programmi e sui servizi, le regolazioni di HKLM sono eseguiti in primo luogo, seguito dagli articoli di HKCU. Inoltre, HKCR, che corrispondono ai codici categoria di chiave dell'alveare sradicano, identificano i vari programmi che sono aperti da Windows sotto gli eventi specifici. Rendendo gli argomenti più difettosi, questa lista dei componenti startup non è l'unico senso iniziare automaticamente i programmi all'interno di Windows. Ancora dobbiamo dare un'occhiata al programmatore di operazione.

Insidiare il programmatore di operazione

Un metodo popolare finale per automaticamente iniziare un backdoor sulle macchine di Windows NT/2000/XP/2003 coinvolge programmare un'operazione funzionare sul sistema. Usando il servizio del programmatore di operazione, un attacker può dire al sistema di fare funzionare un programma specifico ai tempi specifici, sulle date specifiche, o quando determinati eventi accadono, quale l'inizio attività del caricamento del sistema del sistema o dell'utente.

Potete programmare le nuove mansioni sul vostro sistema o osservare quei già previsti usando il GUI previsto di mansioni nel pannello di controllo del sistema. Alternativamente, potreste usare alla ordine-linea attrezzo su Windows NT, 2000 e XP o gli schtasks comandano in Windows.xp ed in 2003 alle mansioni di programma o di vista. Sia il GUI che la linea di ordine mostrano una vista ad alto livello dei programmi previsti per funzionare sul sistema. Il particolare ha fornito dal all'ordine è utile. Per ottenere quel genere di informazioni dal GUI, dovreste scattare sopra le diverse mansioni indicate nel dispositivo di piegatura previsto di mansioni. Una cosa piacevole circa la vista del GUI è che include tutte le mansioni invocate dal programmatore dell'operazione, compreso le azioni del sistema e tempo-basato di start-up. Noti che l'operazione con un numero di identificazione di 2 include una linea di ordine per fare funzionare backdoor.exe. Gee, mi domando che cosa quell'potrebbe fare!

Difese: Rilevazione Delle Tecniche Inizianti Backdoor Di Windows

Così, i attackers hanno un mazzo di sensi installare un backdoor su Windows per funzionare lungamente dopo che il tipo difettoso abbia andato. Per impedire tali attacchi, dovete mantenere i tipi difettosi fuori del vostro sistema in primo luogo. Una prevenzione piccola va un senso lungo nell'arresto del questo tipo di attacco.

Tuttavia, anche con i punti preventivi più grandi, alcuni attackers potrebbe il ritrovamento tranquillo un senso dentro. Così, oltre la prevenzione, come potete rilevare la modificazione del attacker del vostro sistema per iniziare automaticamente un backdoor? Bene, potreste controllare manualmente ogni lima e dispositivo di piegatura ogni chiave di registrazione indicata nella tabella qui sopra e le mansioni previste vedere se qualche cosa di di pesce è stato previsto. Purtroppo, manualmente controllare tutte queste possibilità richiederà i gobs di tempo di frustrazione spesi nell'isolamento freddo e solo.

Fortunatamente, ci è un attrezzo libero piacevole denominato AutoRuns che viene al salvataggio. Disponibile a nessuna carica dalla gente fine a Sysinternals a www.sysinternals.com, questo programma elenca automaticamente tutte le mansioni automaticamente comincianti sulla vostra scatola di Windows NT/2000/XP, compreso i dispositivi di piegatura startup, sulle lime, sulle regolazioni di registrazione e sulle mansioni previste. L'attrezzo di AutoRuns visualizza non soltanto le molti chiavi, dispositivi di piegatura e mansioni differenti di registrazione di start-up distribuite durante il sistema, ma inoltre mostra i valori che sono stati regolati a. Potete vedere il nome esatto di ogni programma, servizio, o scritto che ottiene eseguito durante la partenza per ogni metodo. Quella è una lista pratica da avere, per sia sicurezza che scopi d'analisi guasti. Usando AutoRuns, non dovrete scavare attraverso un mazzo di chiavi e di dispositivi di piegatura di registrazione per vedere quali programmi sono eseguiti durante il caricamento del sistema del sistema. Tutte le informazioni sono raccolte insieme in un GUI piacevole, che persino sostiene automaticamente il salto ad ogni chiave di registrazione o del dispositivo di piegatura in modo da potete pubblicare facilmente il relativo valore.

Sono certamente un ventilatore grande di AutoRuns, ma presenta una limitazione considerevole una volta usato per trovare i vari backdoors automaticamente funzionanti. AutoRuns fa esattamente a che cosa fa pubblicità: Mostra quei programmi e scritti che sono attivati quando il sistema comincia in su o utenti specifici entrare. Tuttavia, con il relativo fuoco sugli eventi di inizio attività e di partenza soltanto, AutoRuns non mostra alcune mansioni che siano previste al funzionamento basato sui periodi specifici del giorno. Un attacker potrebbe programmare un backdoor per ricominciare ogni mattina a 3:00 a.m. ed AutoRuns non lo mostrerà, perché è basato sull'ora. Così, se contate su AutoRuns per trovare automaticamente iniziare i backdoors, ricordisi che ancora dovete controllare le mansioni previste osservando nel pannello di controllo previsto di mansioni, funzionando all'ordine, o usando degli schtasks comandano.

Ulteriormente, potreste utilizzare un programma di controllo di integrità della lima per cercare le vostre macchine di Windows tutte le alterazioni delle lime di sistema critiche e delle chiavi di registrazione. Questi programmi contengono una base di dati di buone impronte digitali conosciute delle lime di sistema critiche e dei valori di registrazione, compreso quei lime ed indici connessi con inizio di partenza e dell'utente di sistema. Quando un cambiamento è rilevato, l'attrezzo li avviserà che in modo da potete calcolare verso l'esterno chi ha fatto il cambiamento: un coordinatore di sistema che effettua la manutenzione standard del sistema o un attacker diabolico si è piegato sulla dominazione del mondo. Dopo l'inizializzazione dell'attrezzo per generare la base di dati delle impronte digitali, potete programmare il programma di controllo di integrità della lima per funzionare in maniera regolare, quali ogni giorno o persino ogni ora. Quando funziona, l'attrezzo controllerà per vedere se ci sono alterazioni alle lime che gli dite di guardare. Quando trova un cambiamento ad uno della partenza o lime di inizio dell'utente descritte in questa sezione, quindi il coordinatore di sistema deve riconciliare tutti i cambiamenti con attività legittima recente del sistema. L'ispettore di integrità della lima si comporta come una protezione di sicurezza umana, sorvegliante il vostro sistema per i cambiamenti non autorizzati.

Se il coordinatore installasse legittimamente una zona, tweaked il processo del caricamento del sistema, o alterasse un ambiente dell'utente, l'allarme dell'attrezzo è soltanto un allarme falso. Altrimenti, un attacker ha potuto essere sul prowl, modificante la configurazione di sistema per iniziare in su un backdoor. Questo processo di riconciliazione non è per il debole di cuore. Richiede molto di sforzo dalla parte del coordinatore di sistema, ma è ben più facile del controllando l'integrità di ogni singoli lima ed indice a mano. I programmi di controllo numerosi di integrità della lima di Windows sono disponibili, compreso la versione commerciale di Tripwire, a www.tripwire.com. Purtroppo, la versione libera di Tripwire non sostiene Windows. Parecchio l'altra integrità della lima che controlla gli attrezzi è disponibile per Windows, compreso il video di integrità del sistema di GFI LANguard e la sentinella di dati di Ionx.

Iniziare UNIX Backdoors

Sicuri, i sensi molto di offerta dei sistemi di Windows cominciare automaticamente ad eseguire i programmi, ma UNIX è slouch neanche. Effettivamente, i sistemi di UNIX sono estremamente licentious nel loro gusto per cominciare sugli scritti e sui programmi. Come con Windows, ogni di queste tecniche ha potuto essere abusata per iniziare un backdoor. Su UNIX, le tecniche entrano in parecchie categorie, compreso la aggiunta o la modificazione degli scritti di inizio di sistema, modificando la configurazione del daemon del Internet (inetd), alterante un ambiente dell'utente e programmante i lavori.

Modificazione dei config di Uber-Processo: inittab

Quando un sistema di UNIX è caricato il sistema, fa funzionare una varietà di scritti e di programmi di inizio. Il primo processo da funzionare su una macchina di UNIX è il daemon del init, che attiva tutti i altri processi stati necessari durante il caricamento del sistema del sistema. La lima /etc/inittab contiene ad un init dello scritto dicendo a che cosa altri processi esso dovrebbero iniziare. Un attacker potrebbe aggiungere una linea alla lima del inittab che inizia in su il proprio backdoor del attacker come componente della sequenza del caricamento del sistema. La lima del inittab contiene le entrate con la disposizione [ id]:[rstate]:[action]:[process ], definita come segue:

• L'identificazione è un numero unico assegnato a questa entrata, appena quattro caratteri che non dovrebbero essere usati per qualunque altra entrata.

• Il rstate è il livello di funzionamento che innescherà l'entrata. Quando caricate il sistema un sistema di UNIX, potete indicare un livello di funzionamento per identificare che livello dei servizi richiedete quando il sistema comincia in su. Il livello di funzionamento può essere regolato per specificare il booting al modo monoutente, che richiede molto pochi servizi, o cambiare al modo multiutente, che richiede più servizi.

• L'azione specifica che cosa il init dovrebbe fare con il programma particolare, come nuovo inizio un processo se è morto, l'esecuzione del processo una volta, o dell'esecuzione dell'esso ogni volta che il sistema è caricato il sistema. Il nuovo inizio del processo quando muore è comportamento realmente pratico per un programma backdoor.

• Il campo trattato è dove le cose ottengono interessanti. Indica uno scritto di coperture specifico che dovrebbe essere eseguito da init. Se un attacker usa il inittab per iniziare un backdoor, il campo trattato si riferirà al nome del programma backdoor in se o ad uno scritto usato per iniziare il backdoor.

Modificazione degli altri scritti di inizio di servizio e del sistema

Sulla maggior parte dei sistemi di UNIX, la lima del inittab dice solitamente al init di fare funzionare una serie di scritti di inizio di servizio per iniziare i vari servizi a funzionare su una scatola. Invece di alterazione del inittab in se, un attacker potrebbe anche modificare questi vari scritti di inizio di servizio, che iniziano tali servizi come il httpd (un web server), il sendmail (un mail server popolare) e lo sshd (il daemon sicuro delle coperture usato per accesso a distanza sicuro). Secondo il vostro sapore particolare di UNIX, questi assistono gli scritti di inizio spesso sono immagazzinati negli indici di /etc/init.d o di /etc/rc.d. Su un sistema tipico di UNIX, ci sono 20 o più tali scritti, ogni 10 - 50 linee desiderano, fornendo la terra fertile per piantare un backdoor. Un attacker ha potuto aggiungere semplicemente uno scritto backdoor ad uno di questi indici, o persino altera gli scritti già-attuali per dare dei calci a fuori di un backdoor. Per esempio, potrei aggiungere un nuovo servizio denominato httpb (noti "la b" strascicante per backdoor, che assomiglia "al httpd"), o persino modifico lo scritto già-attuale che inizia il httpd reale in modo che esso in primo luogo funzionamenti il mio backdoor ed allora inizia il vostro web server.

Come attacco finale contro i vostri scritti startup, un attacker potrebbe livellare la pianta giusta un backdoor in una lima di configurazione che uno degli scritti attuali di inizio di servizio farà funzionare come comincia in su. Per esempio, se il vostro sistema usa mai il punto al protocollo di punto (PPA) per i collegamenti di accesso telefonico del modem, la macchina proverà ad eseguire uno scritto di configurazione denominato /etc/ppp/ip-up.local. La maggior parte del tempo, questo scritto non è necessario, in modo da è solitamente in bianco. Tuttavia, potrei disporre il nome del mio backdoor in questa lima ed ogni volta che componete sul per mezzo del vostro modem, il mio funzionamento backdoor nasty di volontà.

Andando dopo la configurazione dei inetd

Oltre questi scritti startup vari, i attackers inoltre alterano frequentemente la configurazione di un processo particolare ampiamente usato per sostenere i servizi di rete, vale a dire il daemon del Internet (inetd, pronunciato "io-rete-dee"). Su una scatola di UNIX, il processo del inetd aspetta il traffico della rete per una varietà di servizi, compreso il ftp, il telnet ed altri. Quando il inetd riceve il traffico destinato ad uno di questi servizi, fa funzionare l'assistente collegato per maneggiare il traffico se è configurato per fare funzionare il servizio. I attackers potrebbero modificare o aggiungere una linea alla lima di configurazione del inetd, che è immagazzinata nella lima di /etc/inetd.conf o nell'indice di /etc/xinetd.d, secondo il sapore particolare di UNIX. Modificando la configurazione dei inetd, un attacker potrebbe dire al inetd di fare funzionare un backdoor quando il traffico specifico arriva per un orificio particolare del UDP o di TCP. Il inetd di modificazione per iniziare un backdoor è oggi una delle tecniche backdoor più comuni in uso contro i sistemi di UNIX. Nella nostra analogia corporativa di gerarchia, il inetd è un direttore, ma estremamente importante. La corruzione del questo direttore potrebbe dare ad un attacker l'accesso a distanza alla società, perché il inetd ascolta sulla rete i collegamenti.

Registrazione Degli Scritti Di Partenza Dell'Utente

Quando un utente entra ad un sistema di UNIX o fa funzionare determinati ordini, il sistema attiva una varietà di scritti per inizializzare l'ambiente dell'utente. Questi scritti hanno lasciato gli utenti adattare il loro ambiente per il cliente di calcolo facendo funzionare gli ordini specifici durante l'inizio attività. Le lime startup dell'utente più comune sono descritte nella tabella qui sotto. Un attacker potrebbe aggiungere una singola linea che contiene il nome di un backdoor a qualunque di questi scritti per attivare quello backdoor quando lo scritto è funzionato. Rendendo ad argomenti più difettoso ancora, questi scritti sono sparsi durante gli indici domestici degli utenti, come pure l'indice domestico per il cliente del superuser sul sistema, radice. Poiché non sono immagazzinati in una singola posizione, i coordinatori possono avere difficoltà rintracciare giù l'adattamento dei diversi utenti di queste lime. Molti di questi scritti sono 10 - 50 linee lunghe, lotti ancora d'offerta delle opzioni affinchè un attacker sneak nell'attivazione di un backdoor.

Gli scritti comuni si sono associati con l'attivazione di inizio attività o di programma dell'utente

Nome Dello Scritto Dell'Utente	Programma collegato che attiva lo scritto e l'uso tipico
login	Le coperture del tcsh e del csh attivano questo scritto quando un utente entra.
cshrc	Le coperture del tcsh e del csh fanno funzionare questo scritto quando lle nuove coperture di ordine sono iniziate.
kshrc	Le coperture del ksh fanno funzionare questo scritto quando lle nuove coperture di ordine sono iniziate.
bashrc	Le coperture di colpo fanno funzionare questo scritto quando lle nuove coperture di ordine sono iniziate.
bash_profile	Le coperture di colpo attivano questo scritto quando un utente entra.
/etc/profile	Quando tutti i ceppi dell'utente nel sistema usando lo SH o colpiscono le coperture, questo scritto è attivato.
profile	Dopo che /etc/profile sia fatto funzionare durante l'inizio attività dell'utente con lo SH o colpisca le coperture, la lima del profile dell'utilizzatore finale specifico è attivata.
logout	Le coperture del tcsh e del csh fanno funzionare questo scritto quando un utente annota fuori.
xinitrc	L'ordine dello startx che invoca il sistema della finestra di X memorizza le relative informazioni dell'ambiente in questa lima (sui sistemi di RedHat Linux, queste informazioni inoltre è immagazzinato nella lima dei Xclients).
xsession	Il programma del xdm usa questa lima per configurare la sessione iniziale della finestra di X.

Lavori diabolici di programmazione con Cron

Un metodo popolare finale per l'attivazione del backdoor su UNIX coinvolge programmare un lavoro che fa funzionare il backdoor usando il daemon del cron. Cron funziona piuttosto come il programmatore di operazione di Windows. A determinati tempi predefiniti, il cron esegue gli scritti, in grado di includere i backdoors. Cron è configurato usando le lime del crontab, che sono trovate in /etc/crontab ed in /etc/cron.d per i lavori del coordinatore di sistema. I diversi utenti possono anche generare i lavori previsti nell'indice di /etc/spool/cron. Aggiungendo un'entrata unica a qualunque di queste lime, un attacker ha potuto programmare un backdoor per cominciare ad un tempo specifico, o durante l'inizio di sistema. Così, usando il cron, un attacker può configurare il sistema per iniziare in su il backdoor ogni ora, se già non sta funzionando. Quel senso, se il mio processo backdoor ottiene mai ucciso da un coordinatore di sistema, da un reboot della macchina, o da un arresto di sistema, dovrò soltanto attendere un massimo di un'ora prima che la macchina me l'ricominci per.

Difese: Rilevazione Delle Tecniche Inizianti Backdoor di UNIX

Così, aggiungendo su tutte le zone differenti un attacker può usare iniziare un backdoor, potreste guardare diverse centinaia lime e gli indici, consistenti di alcune mille linee di difficile-$$$-HANNO letto gli scritti. Ché dolore! Chiaramente, cercare il nido di questo ratto i backdoors non è qualcosa che un essere umano tipico potrebbe fare in maniera regolare. Per questo motivo, dovreste utilizzare un attrezzo automatizzato che allarmi voi quando i cambiamenti sono fatti alle vari lime e scritti di configurazione elencati in questa sezione.

Parecchi programmi di controllo popolari di integrità della lima sono a disposizione su una base commerciale e libera per fungere da vostri servi digitali nell'effettuazione del questo obiettivo. Come le loro controparti di Windows che abbiamo discusso più presto, questi attrezzi generano una base di dati di crittografico hashes quell'atto come le impronte digitali digitali delle vostre lime di sistema critiche e periodicamente controllano il vostro sistema dichiarano contro di esso.

Un numero enorme di integrità della lima che controlla gli attrezzi è disponibile per UNIX. Il granddaddy di questi attrezzi è il Tripwire venerable, disponibile sia su una base commerciale che libera per UNIX a www.tripwire.com ed a www.tripwire.org, rispettivamente. Inoltre, l'AIUTANTE degli attrezzi di fonte (www.cs.tut.fi/~rammer/aide.html) edil Osirisliberi e aperti (http://osiris.shmoo.com/) effettuano i controlli simili.