Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Трояны и backdoor`s

Рубрика: Безопасность -> Уязвимости Linux-сервера
Метки: | | |
Среда, 21 января 2009 г.
Просмотров: 5890
Подписаться на комментарии по RSS

В отличии от вирусов и червей, трояны используют в других целях. Их основное назначение - получить удаленный доступ к системе. Также они не способны к размножению, как вирусы и черви. Трояны редко вызывают повреждение данных - повредить данные может уже сам крекер, который получил доступ к системе с помощью трояна.


     Рассмотрим, как распространяется троян. Администратору атакуемой системы приходит сообщение о новой версии какой-то программы. По традиции, она распространяется в исходных кодах. Администратор скачивает ее и компилирует. В результате он получает троянскую версию программу.В большинстве случаев она выполняет ожидаемые от нее действия , но в то же время она выполняет некоторые несанкционированные действия. В том числе устанавливает «черный ход» (backdoor). «Черный ход» может быть частью трояна, которая работает на определенном порту. Иногда backdoor устанавливается крекером, уже проникшим в систему. Это тот же rootshell, позволяющий удаленно выполнять любые команды от имени пользователя root.

     Например летом 2002г. был взломан FTP-сайт ftp.sendmail.org и вместо нормальной версии sendmail на нем была выложена троянская версия sendmail 8.12.6. Программу скачало и успело установить более 200 пользователей, пока её не обнаружили.

     Довольно распространенный «черный ход» - это дополнительная учетная запись пользователя root. Она может быть замаскирована и называться по другому, например reboot, daemon, nouser, null или guest. Наличие дополнительной учетной записи с правами root должно послужить настоящей боевой тревогой для администратора.

     Еще один backdoor - это rootshell, то есть оболочка, запущенная с привилегиями пользователя root и дающая право запускать программы от его имени. Она прописывается в файле /etc/inetd.conf. Inetd - это суперсервер, демон, который контролирует работу других сетевых сервисов в Linux. В наше время практически не используется. Современные дистрибутивы вместо inetd используют его новую версию - xinetd.

     Следующий метод - создание SUID-оболочки. Основан на копировании обычной оболочки в другой каталог и установке для копии бита SUID. При имеющемся доступе к системе, это позволяет полученить привилегированный доступ к системе.

     Также крекер может использовать CGI в качестве «черного хода», поэтому на большинстве публичных Web-серверах CGI-сценарии запрещены.

     Троянские наборы системных программ называются руткитами. Сущность заключается в следующем: создаются троянские копии системных утилит, которые находятся в каталогах /bin или /sbin. Результат такого набора - скрыть пребывание крекера или программ крекера в системе.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)