最后,
哪個(gè)銀行可以無(wú)抵押小額貸款--------網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。確保網(wǎng)絡(luò)系統(tǒng)的信息安全是網(wǎng)絡(luò)安全的目標(biāo),信息安全包括兩個(gè)方面:信息的存儲(chǔ)安全和信息的傳輸安全。信息的存儲(chǔ)安全是指信息在靜態(tài)存放狀態(tài)下的安全,如是否會(huì)被非授權(quán)調(diào)用等。信息的傳輸安全是指信息在動(dòng)態(tài)傳輸過(guò)程中安全。為了確保網(wǎng)絡(luò)信息的傳輸安全,有以下幾個(gè)問(wèn)題:(1)對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽(tīng);(2)對(duì)用戶(hù)身份的仿冒;(3)對(duì)網(wǎng)絡(luò)上信息的篡改;(4)對(duì)發(fā)出的信息予以否認(rèn);(5)對(duì)信息進(jìn)行重發(fā)。折疊對(duì)于一般的常用入侵方法主要有1.口令入侵所謂口令入侵,就是指用一些軟件解開(kāi)已經(jīng)得到但被人加密的口令文檔,不過(guò)許多黑客已大量采用一種可以繞開(kāi)或屏蔽口令保護(hù)的程序來(lái)完成這項(xiàng)工作。對(duì)于那些可以解開(kāi)或屏蔽口令保護(hù)的程序通常被稱(chēng)為“Crack”。由于這些軟件的廣為流傳,使得入侵電腦網(wǎng)絡(luò)系統(tǒng)有時(shí)變得相當(dāng)簡(jiǎn)單,一般不需要很深入了解系統(tǒng)的內(nèi)部結(jié)構(gòu),是初學(xué)者的好方法。2.特洛伊木馬術(shù)說(shuō)到特洛伊木馬,只要知道這個(gè)故事的人就不難理解,它最典型的做法可能就是把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶(hù)的正常程序中,這時(shí)合法用戶(hù)的程序代碼已被該變。一旦用戶(hù)觸發(fā)該程序,那么依附在內(nèi)的黑客指令代碼同時(shí)被激活,這些代碼往往能完成黑客指定的任務(wù)。由于這種入侵法需要黑客有很好的編程經(jīng)驗(yàn),且要更改代碼、要一定的權(quán)限,所以較難掌握。但正因?yàn)樗膹?fù)雜性,一般的系統(tǒng)管理員很難發(fā)現(xiàn)。3.監(jiān)聽(tīng)法這是一個(gè)很實(shí)用但風(fēng)險(xiǎn)也很大的黑客入侵方法,但還是有很多入侵系統(tǒng)的黑客采用此類(lèi)方法,正所謂藝高人膽大。網(wǎng)絡(luò)節(jié)點(diǎn)或工作站之間的交流是通過(guò)信息流的轉(zhuǎn)送得以實(shí)現(xiàn),而當(dāng)在一個(gè)沒(méi)有集線(xiàn)器的網(wǎng)絡(luò)中,數(shù)據(jù)的傳輸并沒(méi)有指明特定的方向,這時(shí)每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)或工作站都是一個(gè)接口。這就好比某一節(jié)點(diǎn)說(shuō):“嗨!你們中有誰(shuí)是我要發(fā)信息的工作站?!贝藭r(shí),所有的系統(tǒng)接口都收到了這個(gè)信息,一旦某個(gè)工作站說(shuō):“嗨!那是我,請(qǐng)把數(shù)據(jù)傳過(guò)來(lái)?!甭?lián)接就馬上完成。目前有網(wǎng)絡(luò)上流傳著很多嗅探軟件,利用這些軟件就可以很簡(jiǎn)單的監(jiān)聽(tīng)到數(shù)據(jù),甚至就包含口令文件,有的服務(wù)在傳輸文件中直接使用明文傳輸,這也是非常危險(xiǎn)的。4.E-mail技術(shù)使用email加木馬程序這是黑客經(jīng)常使用的一種手段,而且非常奏效,一般的用戶(hù),甚至是網(wǎng)管,對(duì)網(wǎng)絡(luò)安全的意識(shí)太過(guò)于淡薄,這就給很多黑客以可乘之機(jī)。5.病毒技術(shù)作為一個(gè)黑客,如此使用應(yīng)該是一件可恥的事情,不過(guò)大家可以學(xué)習(xí),畢竟也是一種攻擊的辦法,特殊時(shí)間,特殊地點(diǎn)完全可以使用。6.隱藏技術(shù)折疊攻擊的準(zhǔn)備階段首先需要說(shuō)明的是,入侵者的來(lái)源有兩種,一種是內(nèi)部人員利用自己的工作機(jī)會(huì)和權(quán)限來(lái)獲取不應(yīng)該獲取的權(quán)限而進(jìn)行的攻擊。另一種是外部人員入侵,包括遠(yuǎn)程入侵、網(wǎng)絡(luò)節(jié)點(diǎn)接入入侵等。本節(jié)主要討論遠(yuǎn)程攻擊。進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作,其主要工作流程是:收集情報(bào),遠(yuǎn)程攻擊,遠(yuǎn)程登錄,取得普通用戶(hù)的權(quán)限,取得超級(jí)用戶(hù)的權(quán)限,留下后門(mén),清除日志。主要內(nèi)容包括目標(biāo)分析,文檔獲取,破解密碼,日志清除等技術(shù),下面分別介紹。1.確定攻擊的目的攻擊者在進(jìn)行一次完整的攻擊之前首先要確定攻擊要達(dá)到什么樣的目的,即給對(duì)方造成什么樣的后果。常見(jiàn)的攻擊目的有破壞型和入侵型兩種。破壞型攻擊指的只是破壞攻擊目標(biāo),使其不能正常工作,而不能隨意控制目標(biāo)的系統(tǒng)的運(yùn)行。要達(dá)到破壞型攻擊的目的,主要的手段是拒絕服務(wù)攻擊(Denial Of Service)。另一類(lèi)常見(jiàn)的攻擊目的是入侵攻擊目標(biāo),這種攻擊是要獲得一定的權(quán)限來(lái)達(dá)到控制攻擊目標(biāo)的目的。應(yīng)該說(shuō)這種攻擊比破壞型攻擊更為普遍,威脅性也更大。因?yàn)楹诳鸵坏┇@取攻擊目標(biāo)的管理員權(quán)限就可以對(duì)此服務(wù)器做任意動(dòng)作,包括破壞性的攻擊。此類(lèi)攻擊一般也是利用服務(wù)器操作系統(tǒng)、應(yīng)用軟件或者網(wǎng)絡(luò)協(xié)議存在的漏洞進(jìn)行的。當(dāng)然還有另一種造成此種攻擊的原因就是密碼泄露,攻擊者靠猜測(cè)或者窮舉法來(lái)得到服務(wù)器用戶(hù)的密碼,然后就可以用和真正的管理員一樣對(duì)服務(wù)器進(jìn)行訪(fǎng)問(wèn)。2.信息收集除了確定攻擊目的之外,攻擊前的最主要工作就是收集盡量多的關(guān)于攻擊目標(biāo)的信息。這些信息主要包括目標(biāo)的操作系統(tǒng)類(lèi)型及版本,目標(biāo)提供哪些服務(wù),各服務(wù)器程序的類(lèi)型與版本以及相關(guān)的社會(huì)信息。要攻擊一臺(tái)機(jī)器,首先要確定它上面正在運(yùn)行的操作系統(tǒng)是什么,因?yàn)閷?duì)于不同類(lèi)型的操作系統(tǒng),其上的系統(tǒng)漏洞有很大區(qū)別,所以攻擊的方法也完全不同,甚至同一種操作系統(tǒng)的不同版本的系統(tǒng)漏洞也是不一樣的。要確定一臺(tái)服務(wù)器的操作系統(tǒng)一般是靠經(jīng)驗(yàn),有些服務(wù)器的某些服務(wù)顯示信息會(huì)泄露其操作系統(tǒng)。例如當(dāng)我們通過(guò)TELNET連上一臺(tái)機(jī)器時(shí),如果顯示Unix(r)System V Release 4.0login:那么根據(jù)經(jīng)驗(yàn)就可以確定這個(gè)機(jī)器上運(yùn)行的操作系統(tǒng)為SUN OS 5.5或5.5.l。但這樣確定操作系統(tǒng)類(lèi)型是不準(zhǔn)確的,因?yàn)橛行┚W(wǎng)站管理員為了迷惑攻擊者會(huì)故意更改顯示信息,造成假象。還有一種不是很有效的方法,諸如查詢(xún)DNS的主機(jī)信息(不是很可靠)來(lái)看登記域名時(shí)的申請(qǐng)機(jī)器類(lèi)型和操作系統(tǒng)類(lèi)型,或者使用社會(huì)工程學(xué)的方法來(lái)獲得,以及利用某些主機(jī)開(kāi)放的SNMP的公共組來(lái)查詢(xún)。另外一種相對(duì)比較準(zhǔn)確的方法是利用網(wǎng)絡(luò)操作系統(tǒng)里的TCP/IP堆棧作為特殊的“指紋”來(lái)確定系統(tǒng)的真正身份。因?yàn)椴煌牟僮飨到y(tǒng)在網(wǎng)絡(luò)底層協(xié)議的各種實(shí)現(xiàn)細(xì)節(jié)上略有不同??梢酝ㄟ^(guò)遠(yuǎn)程向目標(biāo)發(fā)送特殊的包,然后通過(guò)返回的包來(lái)確定操作系統(tǒng)類(lèi)型。例如通過(guò)向目標(biāo)機(jī)發(fā)送一個(gè)FIN的包(或者是任何沒(méi)有ACK或SYN標(biāo)記的包)到目標(biāo)主機(jī)的一個(gè)開(kāi)放的端口然后等待回應(yīng)。許多系統(tǒng)如windows、 BSDI、CISCO、 HP/UX和IRIX會(huì)返回一個(gè)RESET。通過(guò)發(fā)送一個(gè)SYN包,它含有沒(méi)有定義的TCP標(biāo)記的TCP頭。那么在Linux系統(tǒng)的回應(yīng)包就會(huì)包含這個(gè)沒(méi)有定義的標(biāo)記,而在一些別的系統(tǒng)則會(huì)在收到SYN+BOGU包之后關(guān)閉連接?;蚴抢脤ふ页跏蓟蛄虚L(zhǎng)度模板與特定的操作系統(tǒng)相匹配的方法。利用它可以對(duì)許多系統(tǒng)分類(lèi),如較早的Unix系統(tǒng)是64K長(zhǎng)度,一些新的Unix系統(tǒng)的長(zhǎng)度則是隨機(jī)增長(zhǎng)。還有就是檢查返回包里包含的窗口長(zhǎng)度,這項(xiàng)技術(shù)根據(jù)各個(gè)操作系統(tǒng)的不同的初始化窗口大小來(lái)唯一確定它們。利用這種技術(shù)實(shí)現(xiàn)的工具很多,比較著名的有NMAP、CHECKOS、QUESO等。獲知目標(biāo)提供哪些服務(wù)及各服務(wù)daemon的類(lèi)型、版本同樣非常重要,因?yàn)橐阎穆┒匆话愣际菍?duì)某一服務(wù)的。這里說(shuō)的提供服務(wù)就是指通常我們提到的喘口,例如一般TELNET在23端口,F(xiàn)TP在對(duì)21端口,WWW在80端口或8080端口,這只是一般情況,網(wǎng)站管理完全可以按自己的意愿修改服務(wù)所監(jiān)聽(tīng)的端口號(hào)。在不同服務(wù)器上提供同一種服務(wù)的軟件也可以是不同,我們管這種軟件叫做daemon,例如同樣是提供FTP服務(wù),可以使用wuftp、proftp,ncftp等許多不同種類(lèi)的daemon。確定daemon的類(lèi)型版本也有助于黑客利用系統(tǒng)漏洞攻破網(wǎng)站。另外需要獲得的關(guān)于系統(tǒng)的信息就是一些與計(jì)算機(jī)本身沒(méi)有關(guān)系的社會(huì)信息,例如網(wǎng)站所屬公司的名稱(chēng)、規(guī)模,網(wǎng)絡(luò)管理員的生活習(xí)慣、電話(huà)號(hào)碼等。這些信息看起來(lái)與攻擊一個(gè)網(wǎng)站沒(méi)有關(guān)系,實(shí)際上很多黑客都是利用了這類(lèi)信息攻破網(wǎng)站的。例如有些網(wǎng)站管理員用自己的電話(huà)號(hào)碼做系統(tǒng)密碼,如果掌握了該電話(huà)號(hào)碼,就等于掌握了管理員權(quán)限進(jìn)行信息收集可以用手工進(jìn)行,也可以利用工具來(lái)完成,完成信息收集的工具叫做掃描器。用掃描器收集信息的優(yōu)點(diǎn)是速度快,可以一次對(duì)多個(gè)目標(biāo)進(jìn)行掃描。折疊攻擊的實(shí)施階段1.獲得權(quán)限當(dāng)收集到足夠的信息之后,攻擊者就要開(kāi)始實(shí)施攻擊行動(dòng)了。作為破壞性攻擊,只需利用工具發(fā)動(dòng)攻擊即可。而作為入侵性攻擊,往往要利用收集到的信息,找到其系統(tǒng)漏洞,然后利用該漏洞獲取一定的權(quán)限。有時(shí)獲得了一般用戶(hù)的權(quán)限就足以達(dá)到修改主頁(yè)等目的了,但作為一次完整的攻擊是要獲得系統(tǒng)最高權(quán)限的,這不僅是為了達(dá)到一定的目的,更重要的是證明攻擊者的能力,這也符合黑客的追求。能夠被攻擊者所利用的漏洞不僅包括系統(tǒng)軟件設(shè)計(jì)上的安全漏洞,也包括由于管理配置不當(dāng)而造成的漏洞。前不久,因特網(wǎng)上應(yīng)用最普及的著名www服務(wù)器提供商Apache的主頁(yè)被黑客攻破,其主頁(yè)面上的Powered by Apache圖樣(羽毛狀的圖畫(huà))被改成了Powered by Microsoft Backoffice的圖樣,那個(gè)攻擊者就是利用了管理員對(duì)Webserver用數(shù)據(jù)庫(kù)的一些不當(dāng)配置而成功取得最高權(quán)限的。當(dāng)然大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞。造成軟件漏洞的主要原因在于編制該軟件的程序員缺乏安全意識(shí)。當(dāng)攻擊者對(duì)軟件進(jìn)行非正常的調(diào)用請(qǐng)求時(shí)造成緩沖區(qū)溢出或者對(duì)文件的非法訪(fǎng)問(wèn)。其中利用緩沖區(qū)溢出進(jìn)行的攻擊最為普遍,據(jù)統(tǒng)計(jì)80%以上成功的攻擊都是利用了緩沖區(qū)溢出漏洞來(lái)獲得非法權(quán)限的。關(guān)于緩沖區(qū)溢出在后面用專(zhuān)門(mén)章節(jié)來(lái)作詳細(xì)解釋。無(wú)論作為一個(gè)黑客還是一個(gè)網(wǎng)絡(luò)管理員,都需要掌握盡量多的系統(tǒng)漏洞。黑客需要用它來(lái)完成攻擊,而管理員需要根據(jù)不同的漏洞來(lái)進(jìn)行不同的防御措施。了解最新最多的漏洞信息,可以到諸如Rootshell、Packetstorm、Securityfocus等網(wǎng)站去查找。2.權(quán)限的擴(kuò)大系統(tǒng)漏洞分為遠(yuǎn)程漏洞和本地漏洞兩種,遠(yuǎn)程漏洞是指黑客可以在別的機(jī)器上直接利用該漏洞進(jìn)行攻擊并獲取一定的權(quán)限。這種漏洞的威脅性相當(dāng)大,黑客的攻擊一般都是從遠(yuǎn)程漏洞開(kāi)始的。但是利用遠(yuǎn)程漏洞獲取的不一定是最高權(quán)限,而往往只是一個(gè)普通用戶(hù)的權(quán)限,這樣常常沒(méi)有辦法做黑客們想要做的事。這時(shí)就需要配合本地漏洞來(lái)把獲得的權(quán)限進(jìn)行擴(kuò)大,常常是擴(kuò)大至系統(tǒng)的管理員權(quán)限。只有獲得了最高的管理員權(quán)限之后,才可以做諸如網(wǎng)絡(luò)監(jiān)聽(tīng)、打掃痕跡之類(lèi)的事情。要完成權(quán)限的擴(kuò)大,不但可以利用已獲得的權(quán)限在系統(tǒng)上執(zhí)行利用本地漏洞的程序,還可以放一些木馬之類(lèi)的欺騙程序來(lái)套取管理員密碼,這種木馬是放在本地套取最高權(quán)限用的,而不能進(jìn)行遠(yuǎn)程控制。例如一個(gè)黑客已經(jīng)在一臺(tái)機(jī)器上獲得了一個(gè)普通用戶(hù)的賬號(hào)和登錄權(quán)限,那么他就可以在這臺(tái)機(jī)器上放置一個(gè)假的su程序。一旦黑客放置了假su程序,當(dāng)真正的合法用戶(hù)登錄時(shí),運(yùn)行了su,并輸入了密碼,這時(shí)root密碼就會(huì)被記錄下來(lái),下次黑客再登錄時(shí)就可以使用su變成root了。攻擊的善后工作1.日志系統(tǒng)簡(jiǎn)介如果攻擊者完成攻擊后就立刻離開(kāi)系統(tǒng)而不做任何善后工作,那么他的行蹤將很快被系統(tǒng)管理員發(fā)現(xiàn),因?yàn)樗械木W(wǎng)絡(luò)操作系統(tǒng)一般都提供日志記錄功能,會(huì)把系統(tǒng)上發(fā)生的動(dòng)作記錄下來(lái)。所以,為了自身的隱蔽性,黑客一般都會(huì)抹掉自己在日志中留下的痕跡。想要了解黑客抹掉痕跡的方法,首先要了解常見(jiàn)的操作系統(tǒng)的日志結(jié)構(gòu)以及工作方式。Unix的日志文件通常放在下面這幾個(gè)位置,根據(jù)操作系統(tǒng)的不同略有變化/usr/adm——早期版本的Unix。/Var/adm新一點(diǎn)的版本使用這個(gè)位置。/Varflort一些版本的Solaris、 Linux BSD、Free BSD使用這個(gè)位置。/etc,大多數(shù)Unix版本把Utmp放在此處,一些Unix版本也把Wtmp放在這里,這也是Syslog.conf的位置。下面的文件可能會(huì)根據(jù)你所在的目錄不同而不同:acct或pacct-一記錄每個(gè)用戶(hù)使用的命令記錄。accesslog主要用來(lái)服務(wù)器運(yùn)行了NCSA HTTP服務(wù)器,這個(gè)記錄文件會(huì)記錄有什么站點(diǎn)連接過(guò)你的服務(wù)器。aculo保存撥出去的Modems記錄。lastlog記錄了最近的Login記錄和每個(gè)用戶(hù)的最初目的地,有時(shí)是最后不成功Login的記錄。loginlog一記錄一些不正常的L0gin記錄。messages——記錄輸出到系統(tǒng)控制臺(tái)的記錄,另外的信息由Syslog來(lái)生成ecurity記錄一些使用 UUCP系統(tǒng)企圖進(jìn)入限制范圍的事例。ulog記錄使用su命令的記錄。utmp記錄當(dāng)前登錄到系統(tǒng)中的所有用戶(hù),這個(gè)文件伴隨著用戶(hù)進(jìn)入和離開(kāi)系統(tǒng)而不斷變化。Utmpx,utmp的擴(kuò)展。wtmp記錄用戶(hù)登錄和退出事件。Syslog最重要的日志文件,使用syslogd守護(hù)程序來(lái)獲得。2.隱藏蹤跡攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以隨意修改系統(tǒng)上的文件了(只對(duì)常規(guī) Unix系統(tǒng)而言),包括日志文件,所以一般黑客想要隱藏自己的蹤跡的話(huà),就會(huì)對(duì)日志進(jìn)行修改。最簡(jiǎn)單的方法當(dāng)然就是刪除日志文件了,但這樣做雖然避免了系統(tǒng)管理員根據(jù)IP追蹤到自己,但也明確無(wú)誤地告訴了管理員,系統(tǒng)己經(jīng)被人侵了。所以最常用的辦法是只對(duì)日志文件中有關(guān)自己的那一部分做修改。關(guān)于修改方法的具體細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別,網(wǎng)絡(luò)上有許多此類(lèi)功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和Pacct等日志文件中某一用戶(hù)的信息,使得當(dāng)使用w、who、last等命令查看日志文件時(shí),隱藏掉此用戶(hù)的信息。管理員想要避免日志系統(tǒng)被黑客修改,應(yīng)該采取一定的措施,例如用打印機(jī)實(shí)時(shí)記錄網(wǎng)絡(luò)日志信息。但這樣做也有弊端,黑客一旦了解到你的做法就會(huì)不停地向日志里寫(xiě)入無(wú)用的信息,使得打印機(jī)不停地打印日志,直到所有的紙用光為止。所以比較好的避免日志被修改的辦法是把所有日志文件發(fā)送到一臺(tái)比較安全的主機(jī)上,即使用loghost。即使是這樣也不能完全避免日志被修改的可能性,因?yàn)楹诳图热荒芄ト脒@臺(tái)主機(jī),也很可能攻入loghost。只修改日志是不夠的,因?yàn)榘倜鼙赜幸宦词棺哉J(rèn)為修改了所有的日志,仍然會(huì)留下一些蛛絲馬跡的。例如安裝了某些后門(mén)程序,運(yùn)行后也可能被管理員發(fā)現(xiàn)。所以,黑客高手可以通過(guò)替換一些系統(tǒng)程序的方法來(lái)進(jìn)一步隱藏蹤跡。這種用來(lái)替換正常系統(tǒng)程序的黑客程序叫做rootkit,這類(lèi)程序在一些黑客網(wǎng)站可以找到,比較常見(jiàn)的有LinuxRootKit,現(xiàn)在已經(jīng)發(fā)展到了5.0版本了。它可以替換系統(tǒng)的ls、ps、netstat、inetd等等一系列重要的系統(tǒng)程序,當(dāng)替換了ls后,就可以隱藏指定的文件,使得管理員在使用ls命令時(shí)無(wú)法看到這些文件,從而達(dá)到隱藏自己的目的。3.后門(mén)一般黑客都會(huì)在攻入系統(tǒng)后不只一次地進(jìn)入該系統(tǒng)。為了下次再進(jìn)入系統(tǒng)時(shí)方便一點(diǎn),黑客會(huì)留下一個(gè)后門(mén),特洛伊木馬就是后門(mén)的最好范例。Unix中留后門(mén)的方法有很多種,下面介紹幾種常見(jiàn)的后門(mén),供網(wǎng)絡(luò)管理員參考防范。折疊密碼破解后門(mén)這是入侵者使用的最早也是最老的方法,它不僅可以獲得對(duì)Unix機(jī)器的訪(fǎng)問(wèn),而且可 以通過(guò)破解密碼制造后門(mén)。這就是破解口令薄弱的帳號(hào)。以后即使管理員封了入侵者的當(dāng)前帳號(hào),這些新的帳號(hào)仍然可能是重新侵入的后門(mén)。多數(shù)情況下,入侵者尋找口令薄弱的未使用帳號(hào),然后將口令改的難些。當(dāng)管理員尋找口令薄弱的帳號(hào)是,也不會(huì)發(fā)現(xiàn)這些密碼已修改的帳號(hào)。因而管理員很難確定查封哪個(gè)帳號(hào)。Rhosts + + 后門(mén)在連網(wǎng)的Unix機(jī)器中,象Rsh和Rlogin這樣的服務(wù)是基于rhosts文件里的主機(jī)名使用簡(jiǎn) 單的認(rèn)證方法。用戶(hù)可以輕易的改變?cè)O(shè)置而不需口令就能進(jìn)入。入侵者只要向可以訪(fǎng)問(wèn)的某用戶(hù)的rhosts文件中輸入"+ +",就可以允許任何人從任何地方無(wú)須口令便能進(jìn)入這個(gè)帳號(hào)。特別當(dāng)home目錄通過(guò)NFS向外共享時(shí),入侵者更熱中于此。這些帳號(hào)也成 了入侵者再次侵入的后門(mén)。許多人更喜歡使用Rsh,因?yàn)樗ǔH鄙偃罩灸芰?。許多管理員經(jīng)常檢查 "+ +",所以入侵者實(shí)際上多設(shè)置來(lái)自網(wǎng)上的另一個(gè)帳號(hào)的主機(jī)名和用戶(hù)名,從而不易被發(fā)現(xiàn)。折疊校驗(yàn)和及時(shí)間戳后門(mén)早期,許多入侵者用自己的trojan程序替代二進(jìn)制文件。系統(tǒng)管理員便依靠時(shí)間戳和系 統(tǒng)校驗(yàn)和的程序辨別一個(gè)二進(jìn)制文件是否已被改變,如Unix里的sum程序。入侵者又發(fā)展了使trojan文件和原文件時(shí)間戳同步的新技術(shù)。它是這樣實(shí)現(xiàn)的: 先將系統(tǒng)時(shí)鐘撥回到原文件時(shí)間,然后調(diào)整trojan文件的時(shí)間為系統(tǒng)時(shí)間。一旦二進(jìn)制trojan文件與 原來(lái)的精確同步,就可以把系統(tǒng)時(shí)間設(shè)回當(dāng)前時(shí)間。Sum程序是基于CRC校驗(yàn),很容易騙過(guò)。入侵者設(shè)計(jì)出了可以將trojan的校驗(yàn)和調(diào)整到原文件的校驗(yàn)和的程序。MD5是被 大多數(shù)人推薦的,MD5使用的算法目前還沒(méi)人能騙過(guò)。折疊Login后門(mén)在Unix里,login程序通常用來(lái)對(duì)telnet來(lái)的用戶(hù)進(jìn)行口令驗(yàn)證。 入侵者獲取login.c的原代碼并修改,使它在比較輸入口令與存儲(chǔ)口令時(shí)先檢查后門(mén)口令。如果用戶(hù)敲入后門(mén) 口令,它將忽視管理員設(shè)置的口令讓你長(zhǎng)驅(qū)直入。這將允許入侵者進(jìn)入任何帳號(hào),甚至是root。由于后門(mén)口令是在用戶(hù)真實(shí)登錄并被日志記錄到utmp和wtmp前產(chǎn)生一個(gè)訪(fǎng)問(wèn) 的,所以入侵者可以登錄獲取shell卻不會(huì)暴露該帳號(hào)。管理員注意到這種后門(mén)后,便用"strings"命令搜索login程序以尋找文本信息。 許多情況下后門(mén)口令會(huì)原形畢露。入侵者就開(kāi)始加密或者更好的隱藏口令,使strings命令失效。 所以更多的管理員是用MD5校驗(yàn)和檢測(cè)這種后門(mén)的。折疊Telnetd后門(mén)當(dāng)用戶(hù)telnet到系統(tǒng),監(jiān)聽(tīng)端口的inetd服務(wù)接受連接隨后遞給in.telnetd,由它運(yùn)行 login.一些入侵者知道管理員會(huì)檢查login是否被修改,就著手修改in.telnetd. 在in.telnetd內(nèi)部有一些對(duì)用戶(hù)信息的檢驗(yàn),比如用戶(hù)使用了何種終端。典型的終端 設(shè)置是Xterm或者VT100.入侵者可以做這樣的后門(mén),當(dāng)終端設(shè)置為"letmein"時(shí)產(chǎn)生一個(gè)不要任何驗(yàn)證的shell. 入侵者已對(duì)某些服務(wù)作了后門(mén),對(duì)來(lái)自特定源端口的連接產(chǎn)生一個(gè)shell。折疊服務(wù)后門(mén)幾乎所有網(wǎng)絡(luò)服務(wù)曾被入侵者作過(guò)后門(mén)。 Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本隨處多是。有的只是連接到某個(gè)TCP端口的shell,通過(guò)后門(mén)口令就能獲取訪(fǎng)問(wèn)。這些程序有時(shí)用刺媧□?Ucp這樣不用的服務(wù),或者被加入inetd.conf 作為一個(gè)新的服務(wù),管理員應(yīng)該非常注意那些服務(wù)正在運(yùn)行,并用MD5對(duì)原服務(wù)程序做校驗(yàn)。Cronjob后門(mén)Unix上的Cronjob可以按時(shí)間表調(diào)度特定程序的運(yùn)行。入侵者可以加入后門(mén)shell程序使它在1AM到2AM之間運(yùn)行,那么每晚有一個(gè)小時(shí)可以獲得訪(fǎng)問(wèn)。也可以查看cronjob中 經(jīng)常運(yùn)行的合法程序,同時(shí)置入后門(mén)。庫(kù)后門(mén)幾乎所有的UNIX系統(tǒng)使用共享庫(kù),共享庫(kù)用于相同函數(shù)的重用而減少代碼長(zhǎng)度。一些入侵者在象crypt.c和_crypt.c這些函數(shù)里作了后門(mén);象login.c這樣的程序調(diào)用了 crypt()。當(dāng)使用后門(mén)口令時(shí)產(chǎn)生一個(gè)shell。因此,即使管理員用MD5檢查login程序,仍然能產(chǎn)生一個(gè)后門(mén)函數(shù),而且許多管理員并不會(huì)檢查庫(kù)是否被做了后門(mén)。對(duì)于許多入侵者來(lái)說(shuō)有一個(gè)問(wèn)題: 一些管理員對(duì)所有東西多作了MD5校驗(yàn),有一種辦法是入侵者對(duì)open()和文件訪(fǎng)問(wèn)函數(shù)做后門(mén)。后門(mén)函數(shù)讀原文件但執(zhí)行trojan后門(mén)程序。所以當(dāng)MD5讀這些文件時(shí),校驗(yàn)和一切正常,但當(dāng)系統(tǒng)運(yùn)行時(shí)將執(zhí)行trojan版本的,即使trojan庫(kù)本身也可躲過(guò)MD5校驗(yàn),對(duì)于管理員來(lái)說(shuō)有一種方法可以找到后門(mén),就是靜態(tài)編連MD5校驗(yàn)程序然后運(yùn)行,靜態(tài)連接程序不會(huì)使用trojan共享庫(kù)。內(nèi)核后門(mén)內(nèi)核是Unix工作的核心,用于庫(kù)躲過(guò)MD5校驗(yàn)的方法同樣適用于內(nèi)核級(jí)別,甚至連靜態(tài) 連接多不能識(shí)別。一個(gè)后門(mén)作的很好的內(nèi)核是最難被管理員查找的,所幸的是內(nèi)核的 后門(mén)程序還不是隨手可得,每人知道它事實(shí)上傳播有多廣。文件系統(tǒng)后門(mén)入侵者需要在服務(wù)器上存儲(chǔ)他們的掠奪品或數(shù)據(jù),并不能被管理員發(fā)現(xiàn),入侵者的文章常是包括exploit腳本工具,后門(mén)集,sniffer日志,email的備分,原代碼,等等!有時(shí)為了防止管理員發(fā)現(xiàn)這么大的文件,入侵者需要修補(bǔ)"ls","du","fsck"以隱匿特定的目錄和文件,在很低的級(jí)別,入侵者做這樣的漏洞: 以專(zhuān)有的格式在硬盤(pán)上割出一部分,且表示為壞的扇區(qū)。因此入侵者只能用特別的工具訪(fǎng)問(wèn)這些隱藏的文件,對(duì)于普通的管理員來(lái)說(shuō),很難發(fā)現(xiàn)這些"壞扇區(qū)"里的文件系統(tǒng),而它又確實(shí)存在。Boot塊后門(mén)在PC世界里,許多病毒藏匿與根區(qū),而殺病毒軟件就是檢查根區(qū)是否被改變。Unix下,多數(shù)管理員沒(méi)有檢查根區(qū)的軟件,所以一些入侵者將一些后門(mén)留在根區(qū)。隱匿進(jìn)程后門(mén)入侵者通常想隱匿他們運(yùn)行的程序,這樣的程序一般是口令破解程序和監(jiān)聽(tīng)程序(sniffer),有許多辦法可以實(shí)現(xiàn),這里是較通用的: 編寫(xiě)程序時(shí)修改自己的argv[] 使它看起來(lái)象其他進(jìn)程名。可以將sniffer程序改名類(lèi)似in.syslog再執(zhí)行,因此當(dāng)管理員用"ps"檢查運(yùn)行進(jìn)程時(shí),出現(xiàn) 的是標(biāo)準(zhǔn)服務(wù)名??梢孕薷膸?kù)函數(shù)致使"ps"不能顯示所有進(jìn)程,可以將一個(gè)后門(mén)或程序嵌入中斷驅(qū)動(dòng)程序使它不會(huì)在進(jìn)程表顯現(xiàn)。使用這個(gè)技術(shù)的一個(gè)后門(mén)例子是amod.tar.gz :網(wǎng)絡(luò)通行。這些網(wǎng)絡(luò)通行后 門(mén)有時(shí)允許入侵者通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)。有許多網(wǎng)絡(luò)后門(mén)程序允許入侵者建立某個(gè)端口號(hào)并不用通過(guò)普通服務(wù)就能實(shí)現(xiàn)訪(fǎng)問(wèn)。 因?yàn)檫@是通過(guò)非標(biāo)準(zhǔn)網(wǎng)絡(luò)端口的通行,管理員可能忽視入侵者的足跡。 這種后門(mén)通常使用TCP,UDP和ICMP,但也可能是其他類(lèi)型報(bào)文。TCP Shell 后門(mén)入侵者可能在防火墻沒(méi)有阻塞的高位TCP端口建立這些TCP Shell后門(mén). 許多情況下,他們用口令進(jìn)行保護(hù)以免管理員連接上后立即看到是shell訪(fǎng)問(wèn)。 管理員可以用netstat 命令查看當(dāng)前的連接狀態(tài),那些端口在偵聽(tīng),目前連接的來(lái)龍去脈。 通常這些后門(mén)可以讓入侵者躲過(guò)TCP Wrapper技術(shù)。這些后門(mén)可以放在SMTP端口,許多防火墻允許 e-mail通行的.UDP Shell 后門(mén)管理員經(jīng)常注意TCP連接并觀察其怪異情況,而UDP Shell后門(mén)沒(méi)有這樣的連接,所以 netstat不能顯示入侵者的訪(fǎng)問(wèn)痕跡,許多防火墻設(shè)置成允許類(lèi)似DNS的UDP報(bào)文的通行,通常入侵者將UDP Shell放置在這個(gè)端口,允許穿越防火墻。ICMP Shell 后門(mén)Ping是通過(guò)發(fā)送和接受ICMP包檢測(cè)機(jī)器活動(dòng)狀態(tài)的通用辦法之一。許多防火墻允許外界ping它內(nèi)部的機(jī)器,入侵者可以放數(shù)據(jù)入Ping的ICMP包,在ping的機(jī)器間形成一個(gè)shell通道,管理員也許會(huì)注意到Ping包暴風(fēng),但除了他查看包內(nèi)數(shù)據(jù),否者入侵者不會(huì)暴露。加密連接
中信銀行小微企業(yè)貸款有哪些1、企業(yè)應(yīng)納稅所得額300萬(wàn)以下;2、企業(yè)從業(yè)人數(shù)在300人以下;3、現(xiàn)資產(chǎn)總額在5000萬(wàn)以下?,F(xiàn)在有很多助力小微企業(yè)資金周轉(zhuǎn)的信貸平臺(tái),記得一定要選擇正規(guī)平臺(tái),比如度小滿(mǎn)金融,額度高利率低,據(jù)了解度小滿(mǎn)金融的信貸用戶(hù)中,有七成是小微企業(yè)主,大品牌更安心。
欠中信銀行信用卡三千多逾期一年多沒(méi)還怎么樣……中信銀行信用卡3000多余元,一年多少?zèng)]還怎么辦?那還那就是利滾利了,那就不少錢(qián)了,一年啥也沒(méi)花200,再內(nèi)心的話(huà),現(xiàn)在咋子得四五情趣?