시작 backdoors을 자동으로

Share

|

때 공격자 나누기로 시스템 및 설치하는 우회, 그 또는 그녀는 보통 우회 프로그램을 수동으로 활성화합니다. 그러나, 경우에 공격자가 로그 아웃의 머신, 그 또는 그녀는 더 이상의 직접 통제의 시스템입니다. 그렇다면 무엇을 계속해서 하루에 게재되고있는 우회 -가 - 하루 근거 이후에 나쁜 사나이가 떠났다가? 시다 a 말이야 시스템 관리자가 다시 부팅 시스템을, 또는 더 나쁜 아직은 기계가 충돌합니다. 의 상자를 다시 시작할 때가 우회를 더 이상 실행되지 않습니다을 부인하고 공격자가 자신의 하드 - 투쟁에 액세스합니다. 를 구제 수단이 우려를 간교한 악당 대개가 컴퓨터를 다시 시작하려면 뒷문을 자동으로 변경시 주기적, 특히 시스템 부팅 과정 중에있습니다. 이 섹션에 대해 토론하는 방법 나쁜 애들 조작 시스템을 드리겠습니다하는지 확인하기 위해 자신의 backdoors 자동으로 다시 시작됩니다. 너무 복잡하기 때문에 이러한 방법은 시스템에 따라 다릅니다 유형을 드리겠습니다 윈도우즈 및 유닉스 우회 선발 메커니즘을 개별적으로 분석할 수있습니다.

설정 windows backdoors를 시작하려면

windows 기계는 teeming이 서로 다른 자동으로 프로그램을 시작 - 최대 능력입니다. 공격자는 장소의 이름이 포함되어있는 실행 프로그램이나 스크립트에서 다양한 위치 중 하나의 운영 체제가 자동으로 시작하는 프로그램을 갖고있습니다. 일반적으로 말해서, windows 기계를 제공할 3 개의 서로 다른 종류의 메커니즘에 대해 자동으로 시작 악성 (또는 심지어 nonmalicious) 코드 : 소수의 파일 및 폴더를 자동으로 초지의 레지스트리 설정을하고 예약된 작업을합니다.

변경 시동 파일 및 폴더를

합시다 논의 시동 파일과 folders.the 아래 테이블을 시작하여 여러 위치에 대해 설명하는 임의의 실행 파일과 스크립트가 자동으로 활성화되면 시스템에서가 특정 이벤트가 발생과 같은 시스템을 부팅하거나 특정 사용자가 로그인을 시스템입니다. 공격자의 이름을 우회 프로그램에 포함시킬 어떠한는 이러한 파일이나 폴더를 얻는 대상 시스템에 그것을 자동으로 실행합니다.

windows 시동 파일 및 폴더를

파일이나 폴더 이름	파일이나 폴더를 어떻게 변경할 수있습니다를 자동으로 활성화하는 우회
자동 폴더	공격자를 삽입에 대한 링크가 그것 우회하거나 이러한 폴더에있는 활성화된에서 시작하거나 사용자가 로그온하는 동안 시스템에있습니다. 일 win95/98/me, 단일 폴더를 열고이이 정보를 위치한 c : \ windows \ 시작 메뉴 \ 프로그램 \ 시작합니다. winnt/2000/xp/2003 시스템에는 자동 폴더, 보통과 연관된 "모든 사용자를,"뿐만 아니라 개별 자동 폴더에 대한 개별 사용자의 경우 다음 위치에있습니다 : winnt - c : \ winnt \ 프로필 \ [사용자] \ 시작 메뉴 \ 프로그램 \ 시작 win2000 - c : \ 문서 및 설정 \ [사용자] \ 시작 메뉴 \ 프로그램 \ 시작하고 (만약에서 업그레이드된 windows nt), c : \ winnt \ 프로필 \ [사용자] \ 시작 메뉴 \ 프로그램 \ 시작 winxp/2003- c : \ 문서 및 설정 \ [사용자] \ 시작 메뉴 \ 프로그램 \ 시작
win.ini	win.ini 초기화가 운영 체제에 대한 정보가 포함되어있습니다. 이 파일을 변경할 수있습니다을 시작하는 우회의 두가 지 방법입니다. 첫째로, 그것을 직접 실행할 수있는 프로그램의 추천을에있는 파일을 사용하여 텍스트를 "실행 = [우회]"또는 "로드 = [우회]"입니다. 두 번째로, 그것 연결할 수있습니다 일부 서픽스 (e.g., "입니다. 문서 "또는"입니다. htm ")로 우회 프로그램이 될 때마다 실행 파일과 같은 접미사가 실행하여 시스템을합니다. 이 파일의 위치에 차이가 있지만, 일반적으로 거주 : win95/98/me- c : \ windows \ win.ini winnt/2000- c : \ winnt \ win.ini winxp/2003- c : \ windows \ win.ini
system.ini	이 파일에는 시스템의 하드웨어에 대한 설정을합니다. 에 대한 windows 3.x와 windows 9x,이 파일 지원은 "쉘 ="명령을하고있는가를 지정하는 데 사용하는 사용자 쉘을 시작시 시스템 부팅 시간이있습니다. 쉘된다 주 인터페이스 프로그램이있는 모든 사용자가 컴퓨터를 부팅할 때 표시합니다. 공격자 자주 수정에 줄 "쉘 = 탐색기"이렇게하는 대신 탐색기 창을 시동 gui, 시스템을 실행하는 동안 시스템을 부팅할 a 우회합니다. 가 우회 그런 다음,이 기능을 시작합니다 실제 사용자의 셸, 어떤은 일반적으로 탐색기입니다. 에 대한 더 많은 최근의 windows 버전 (winnt/2000/xp/2003), 운영 체제를 무시은 "쉘 ="문법에 system.ini. 따라서,이 방법이 사용되지 않습니다 우회에서 이러한 최신 운영 체제를 시작합니다. 이 파일은 일반적으로 다음과 같은 장소에있습니다 : win95/98/me- c : \ windows \ system.ini winnt/2000- c : \ winnt \ system.ini windows xp/2003- c : \ windows \ system.ini
wininit.ini	이 파일은 설치 프로그램에 의해 만들어 새로운 소프트웨어가 설치된 경우, 일부 작업이 필요하여 설치를 완료합니다 후에 시스템을 재부 팅합니다. 예를 들어, 새 하드웨어 드라이버를 설치하는 경우, 귀하의 설치 프로그램이있습니다 만들 수있는 시스템을 재부 팅합니다. 으로 시스템이 다시 부팅하는 항목에 wininit.ini이 부팅 과정에서 일부 프로그램이 실행됩니다. 또는, 해당 파일의 이름을 도용하는 데 사용할 수있습니다 일반적으로 사용되는 일부 실행 파일 및 할당 그것을 우회합니다. 사용할 경우,이 파일은 일반적으로 : win95/98/me- c : \ windows \ wininit.ini winnt/2000- c : \ winnt \ wininit.ini windows xp/2003- c : \ windows \ wininit.ini
winstart.bat	의 나이가 windows 시스템 (윈 9x),이 파일이 지남 ms - dos 프로그램을 시작하는 데 일반적으로 windows 환경입니다. 공격자는 포함하는 라인으로 구문 "@ [우회]"를 실행하려면 사용자로부터 숨길 수있는 실행하고있습니다. 만약 그것이 존재한다면 그것은 대개에서 찾을 수 c : \ winstart.bat.
autoexec.bat	이 파일은 관련성이 높은에서만 windows 95/98 시스템입니다. 그것은 무시에 대한 windows 나를, nt, 2000, 체제와 2003. 하위 호환성을 위해, 그것을 지원하기만하면 발사 프로그램을 참조하는 프로그램이 파일을 포함하는 라인과 같은 "c : \ [우회]"입니다. 만약 그것이 존재한다면 그것은 대개에서 찾을 수 c : \ autoexec.bat.
config.sys	이 파일은 관련성이 높은에서만 windows 95/98 시스템입니다. 그것은 무시에 대한 windows 나를, nt, 2000, 체제와 2003. 이 파일을로드 낮은 - 수준 ms - dos - 기반 드라이버, 그리고 일부 창을 체제에 포함되어 있지 않습니다. 우회 포함하는 라인을 실행할 수있습니다. 있을 경우,이 파일은 일반적으로 c : \ config.sys.

레지스트리를 남용

파일 및 폴더를 넘어, 여러 레지스트리 키 수있습니다 학대를 자동으로 활성화하기위한 목적으로 우회합니다. 레지스트리는 맘모스 데이터베이스 주택의 세부적인 구성에 윈도우즈 운영 체제 및 각종 프로그램이 설치되어있는 상자가있습니다. 각 키를 변경할 수있습니다 regedit.exe 프로그램을 사용하고있는 레지스트리 편집기에 내장된 windows nt/2000/xp/2003 기계입니다. 실험을하려는 경우와 관련하여 이러한 키, 수 있도록하는 것이 매우 중요합니다을 조정하기 전에 사용자 시스템의 레지스트리를 백업합니다. 실수로 변경 몇몇 중요한 키의 레지스트리를 할 수 완전히 호스 귀하의 기계를 만드는 것이 부팅할. 있으므로주의하십시오. 중요 레지스트리 키에 대한 자동으로 시작하는 프로그램은 다음과 같습니다 :

시작 프로그램에 로그인하거나 재부 팅하는 레지스트리 키를

레지스트리 키	목적의 키
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservicesonce	일부 프로그램은 백그라운드에서 실행되도록 설치 머신에서가를 서비스로 같이 iis 웹 서버 또는 파일 및 프린터 공유 서비스입니다. 이 레지스트리 키를 식별하는 서비스를 시작해야하는 동안 다음을 재부 팅하고 다음 재부 팅 전용입니다. 에 대한 모든 후속 부츠, 다음 서비스를 시작하지 않습니다
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservices	이 레지스트리 키의 목록을 포함합니다 서비스가 시작될 때마다 시스템을 부팅합니다.
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonce	이 레지스트리 키를 식별하는 프로그램 (없는 서비스)를해야한다 동안에 다음 재부 팅을 시작하고 그 다음 재부 팅 전용입니다. 에 대한 모든 후속 부츠, 다음 프로그램을 실행되지 않습니다.
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ 실행	이러한 프로그램은 시스템 부팅시 실행됩니다.
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonceex	에서만 사용할 수있습니다 windows 98과 나를,이 레지스트리 키가 있음을 나타냅니다 스크립트와 프로그램은 부팅할 때가 실행될 수 있지만, 별도의 프로세스로 시작해서는 안된다. 효율성을 향상시키기 위해 이러한 프로그램은 별도의 프로세스로 실행되지 않지만 대신 별도의 스레드 내에서 다양한 다른 부팅 프로세스로 호출합니다.
hklm \ 소프트웨어 \ microsoft \ windows nt \ currentversion \ winlogon \ userinit	이 키가 들어있는 이름의 프로그램으로 실행하면 모든 사용자가 로그 방면의 시스템입니다. 그것은 일반적으로 사용자의 gui를 나타냅니다
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ shellserviceobjectdelayload	이 레지스트리 키 활성화 프로그램 이후에 windows gui 시동과 같은 시스템 트레이에서 오른쪽 하단 - 모서리의 창 및 그 내용입니다.
hklm \ 소프트웨어 \ 정책 \ microsoft \ windows \ 시스템 \ 스크립트	이 키를 식별 다양한 스크립트가 실행될 때 해당됩니다 windows 부츠까지입니다.
hklm \ 소프트웨어 \ microsoft \ windows \ currentversion \ 정책 \ 탐색기 \ 실행	프로그램에 의해 식별이 레지스트리 키가 시작되면 사용자가 gui (탐색기)가 활성화됩니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservicesonce	이 레지스트리 키를 식별하는 서비스를해야한다 시작한 다음에 사용자가 로그온을 한 번만합니다. 에 대한 모든 후속 로그온, 다음 프로그램을 실행되지 않습니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservices	이러한 서비스가 시작 때마다 사용자가 로그 방면의 시스템입니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonce	이러한 프로그램이 활성화된 후에는 사용자가 로그 방면의 시스템입니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ 실행	이러한 프로그램은 실행될 때마다 사용자가 로그 방면 기계입니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonceex	이러한 프로그램은 다른 시스템 프로세스를 시작하지 않고 실행됩니다.
hkcu \ 소프트웨어 \ microsoft \ windows \ currentversion \ 정책 \ 탐색기 \ 실행	이러한 프로그램은 실행될 때마다 사용자가 로그 방면의 시스템입니다.
hkcu \ 소프트웨어 \ microsoft \ windows nt \ currentversion \ windows \ 실행	이러한 프로그램은 실행될 때마다 사용자가 로그 방면의 시스템입니다.
hkcu \ 소프트웨어 \ microsoft \ windows nt \ currentversion \ windows \로드	이러한 프로그램은 실행될 때마다 사용자가 로그 방면의 시스템입니다.
hkcu \ 소프트웨어 \ 정책 \ microsoft \ windows \ 시스템 \ 스크립트	이러한 스크립트는 활성화된 때마다 사용자가 로그 방면 기계입니다.
hkcr \ exefiles \ 셸 \ 열기 \ 명령	이 키를 나타냅니다든지 실행하는 프로그램이 될 또 다른 exe 파일이 실행될, 매우 자주 발생에서가 기계를해야합니다!

휴! 그것은 긴, 추악한 목록, 그러나 거기는 것을 인식하는 것이 중요합니다 아주 나쁨 많은 장소 공격자 다람쥐 거리의 이름은 일부 대단히 악 우회를 얻는 것이 시작입니다. 이 목록을 될 수 있지만 소모를 늘릴 것이 아닙니다. 현재와 미래 버전의 windows가 능성이 더욱 레지스트리 설정을 자동으로 시작하는 소프트웨어로의 복잡성을 windows가 성장과 각 후속 시스템 패치를 릴리스, 그리고 응용 프로그램이 설치되어있습니다.

참고 사항이 중 일부는 이러한 레지스트리 설정을 시작으로 문자를 hklm과 다른 사람을 시작으로 hkcu. 두 경우 모두 검색 스탠드에 대한 하이브에 대한 참조를가 청크 창의 레지스트리입니다. hklm 스탠드에 대한 하이브 키가 로컬 시스템을 나타냅니다 systemwide 설정합니다. hkcu 스탠드에 대한 하이브 키 현재 사용자, 그리고 사람이 현재 로그에 대한 설정을 식별 windows 머신입니다. 대부분의 시간을위한 시동 프로그램과 서비스를 hklm 설정이 실행된 먼저, 다음에 hkcu 항목입니다. 또한, hkcr하고있는 스탠드에 대한 하이브 키 수업 루트를 식별하는 다양한 프로그램에 의해 문을 연 windows 아래에 특정 이벤트가있습니다. 결정적인 문제 악화,이 목록은 시작 프로그램 구성 요소가 아니라는 유일한 방법이 자동으로 내에서 프로그램을 시작합니다 windows. 우리가 계속해야 할 작업 스케줄러를 살펴 보시기 바랍니다.

undermining 작업 스케줄러

최종 인기있는 방법을 자동으로 시작하는 우회에 대한 windows nt/2000/xp/2003 기계 관련 예약을위한 작업을 실행하려면 시스템에 설치되어있습니다. 을 사용하여 작업 스케줄러 서비스, 공격자가 시스템을 실행하려면 특정 프로그램을 알 수있습니다 언제 특정 시간, 특정 날짜에, 또는 특정 이벤트가 발생하면, 같은 시스템을 부팅하거나 사용자 로그온합니다.

새로운 작업을 할 수있습니다 사용자의 시스템에서 일정이나 내용은 그들이 이미 예약된 예약된 작업을 gui의 시스템을 사용하여 제어판을합니다. 다른 방법으로, 여러분의 명령을 사용할 수있다 - 라인 도구를 windows nt, 2000, xp 또는 schtasks 명령을 windows xp, 2003을 사용하여 하나를보기 또는 일정 작업을합니다. 모두의 gui 및 명령줄을 보여주는 하이 - 레벨 내용의 프로그램을 실행하려면 시스템에 설치되어 예정입니다. 에서 제공하는 세부에서 명령이 유용합니다. 이가 운데있는 종류의 정보를 얻을 gui하려면 개별 작업을 클릭할 필요가 예약된 작업 폴더에 표시됩니다. 하나의 멋진 일이 내용을 gui보기는 것을 포함한 모든 작업을 호출하여 작업의 스케줄러를 포함한 시간 - 기준과 시스템을 시작 - 최대 동작합니다. 통지하는 작업으로 주민등록 번호 중 2를 포함하는 명령줄을 실행하려면 backdoor.exe. 저런, 궁금하다 어떤 것을 하나 할!

방어 : 감지 windows 우회 선발 기법

따라서, 공격자가이 존재 우회에 대한 방법을 설정하는 창이 실행을 오랫동안 이후에 나쁜 사나이가 떠났다. 이 같은 테러 공격을 방지하기 위해 필요합니다 나쁜 애들을 유지하려면 사용자의 시스템에있는 첫 번째 장소의 해제합니다. 조금 예방 이동이 오래 방식에서 이러한 유형의 공격을 중지합니다.

그러나, 심지어으로 큰 예방 단계, 일부 공격자가 능성 여전히 찾을 수있는 방법을 인치 따라서, 너머 예방, 탐지하는 방법을 할 수 공격자의 재구성의 시스템을 자동으로 시작하는 우회가? 글쎄요, 수 수동으로 확인하고 모든 파일과 폴더를 각각의 테이블에서 모든 레지스트리 키가 표시된 위의하고 예약된 작업을 보려면 fishy 경우 문제가 예약되었습니다. 불행히도, 이러한 모든가 능성을 수동으로 점검이 필요 gobs의 좌절 시간을 보냈다의 추위, 외로움 격리합니다.

행복, 거기의 멋진 무료 도구라는 autoruns 오는을 구출합니다. 사용할 수있는 무료의 멋진 언제 sysinternals에서 www.sysinternals.com,이 프로그램이 자동으로 목록에있는 모든 작업을 자동으로 시작 windows nt/2000/xp 상자를 비롯하여 시작 폴더, 파일, 레지스트리 설정 및 예약된 작업을합니다. 가 autoruns 도구가 아니라 많은 다른 시작을 표시합니다 - 최대 레지스트리 키, 폴더 및 작업을 분산 전체의 시스템, 그러나 또한 그들의 값을 보여줍로 설정되었습니다. 정확한 이름을 확인하실 수있습니다의 각 프로그램, 서비스 또는 스크립트 블록은 실행되는 시작 프로그램에 대한 각각의 방법 중에있습니다. 이것이 편리한 목록을 갖고, 모두에 대한 보안 및 문제 해결을 목적으로합니다. 사용 autoruns, 너는이 존재가 없다는 dig를 통해 레지스트리 키 및 폴더를 보려면 시스템 부팅 중에 어떤 프로그램이 실행됩니다. 의 모든 정보가 수집 함께 멋진 gui, 어떤 지원도 자동으로 점프하여 각 폴더 또는 레지스트리 키가 있으므로 그 값을 쉽게 수정하실 수있습니다.

저는 확실히 커다란 팬의 autoruns 않지만이 주목 제한을 찾을 때 사용되는 각종 자동으로 실행되고 backdoors. autoruns하지 정확히 어떤 것이 보급 : 그것을 보여줍 해당 프로그램과 스크립트는 시스템을 시작할 때 활성화 또는 특정 사용자 로그온합니다. 그러나 그 초점을 시작 및 로그온 이벤트 전용, autoruns는 표시되지 않습니다 어떠한이 예약된 작업을 실행하려면 하루 중 특정 시간대에 기초합니다. 공격자는 일정을 우회를 다시 매일 아침에 오전 3시, 그리고 autoruns는 게재되지 않습니다 그것, 그것의 기반으로하기 때문에 시간이 날입니다. 따라서, 경우에 의존 autoruns을 찾기 자동으로 시작 backdoors, 기억이 아직 예약된 작업을 확인하려면를 조사하여 예약된 작업을 제어판에서 명령을 실행하고, 또는 사용 schtasks 명령입니다.

또한 활용할 수있는 파일 무결성 검사 프로그램을 검색하실 수 windows 기계에 대한 모든 중요한 시스템 파일과 레지스트리 키를 변경 등이있습니다. 이러한 프로그램이 포함되어있는 데이터베이스의 알려진 좋은 지문의 중요한 시스템 파일과 레지스트리 값을 포함한 파일 및 디렉토리와 연관된 시스템 시작과 사용자를 초기화합니다. 변경 사항이 감지되면,이 도구는 파악하실 수 있도록 알려드립니다 누의 변화 :는 시스템 관리자가 실적이 표준 시스템 유지 관리 자나 악한 침입자 벤트에 세계를 지배합니다. 초기화 후이 도구를 만들려는 데이터베이스의 지문을 예약할 수있습니다 무결성을 검사 프로그램을 실행하려면이 파일은 정기적으로 매일, 심지어 매 시간마다 같이합니다. 실행될 때,이 도구는 검사에 대한 대안을 파일을 알려주는 그것을 감시합니다. 그것을 발견하면 변경 사항을 하나의 시동 또는 사용자 초기화 파일이 절에서 설명, 그 다음은 시스템 관리자가 모든 변경 사항과 함께 최근의 합법적인 시스템 활동에 화해해야합니다. 이 파일 무결성 검사기를 사도 행전처럼 인간의 보안 경비대, 경찰 사용자의 시스템에 대한 무단 변경 사항입니다.

관리자가 합법적으로 설치된 경우에 대한 패치를 비틀고의 부팅 과정, 또는 변경에 대한 사용자의 환경,이 도구의 경고가 단순한 허위 경보입니다. 그렇지 않으면, 공격자가 될 수를 자랑, 수정의 시스템 구성을 시작하기 우회합니다. 이 화해 과정이 없다는 심장의 희미한. 그것을 필요로 좋은 거래의 노력에 따라 시스템 관리자의 일부분이지만이보다 훨씬 더 쉽게마다 하나의 파일 및 디렉토리의 무결성을 검사하고 손으로합니다. 수많은 windows 파일 무결성 검사 프로그램을 사용할 수를 포함하여 상용 버전의 인계 철선, 언제 www.tripwire.com. 죄송 합니다만, 인계 철선의 무료 버전을 지원하지 않습니다 windows. 여러 다른 파일 무결성 검사 도구를 사용할 수있다 창을 포함한 gfi languard 시스템 무결성을 모니터하고 ionx 데이터 sentinel.

시작 유닉스 backdoors

물론, windows 시스템을 제공할 수있는 많은 방법을 실행하는 프로그램을 자동으로 시작하지만, 유닉스는 없다 그리지 중 하나입니다. 사실, 유닉스 시스템은 극도로 581에서 자신의 취향에 대한 시작 스크립트 및 프로그램입니다. 와 같이 창을 각 중 하나는 이러한 기법 수 학대로 시작하는 우회합니다. 이 유닉스를 테크닉에 빠지지 여러 개의 카테고리를 포함을 추가 또는 수정 시스템 초기화 스크립트의 구성을 수정하여 인터넷 데몬 (inetd), 변경에 대한 사용자의 환경 및 예약을 채용합니다.

수정 uber - 프로세스 구성 : inittab

유닉스 시스템이 부팅할 때, 그것을 실행하는 다양한 초기화 스크립트 및 프로그램입니다. 의 첫 번째 절차를 실행하려면 유닉스 시스템은 init 데몬에서이 활성화 시스템을 부팅하는 동안 모든 다른 프로세스가 필요합니다. 이 파일 / 기타 / inittab 들어있는 스크립트를 알리는 init 어떤 다른 프로세스가 시작되어야합니다. 공격자는 추가 한 라인에 inittab 파일이 시작 공격자가 자신의 우회의 일환으로 부팅 순서입니다. 가 inittab 파일에 포함된 항목이있는 형식 [id] : [rstate] : [작업] : [과정]을 다음과 같이 정의 :

• 아이디는 고유 번호가 할당이 항목을 불과 4 개의 문자가 어떤 다른 항목에 대한 사용해서는 안됩니다.

• 가 rstate은 실행 수준을 해주는 트리거의 항목입니다. 부팅하면 유닉스 시스템, 실행 수준을 식별할 수 있음을 나타냅니다 어떤 수준의 서비스를 필요로하면 시스템이 시작됩니다. 의 실행 수준을 설정할 수있습니다 단일 - 사용자 모드를 지정하려면 부팅을 필요로하는 거의 서비스, 또는 변경을 다중 모드를 필요로 더 많은 서비스입니다.

• 의 동작을 지정 무엇 init해야과 함께 특정 프로그램과 같은 다시 시작하는 과정이 있으면 사망, 호출하는 프로세스를 한 번, 또는 실행 때마다 그것은 시스템이 부팅합니다. 다시 시작하는 과정이 죽으은 정말 편리 동작을 우회 프로그램입니다.

• 이 과정을 필드는 어디서 얻을 재미있는 것들입니다. 그것을 나타냅니다되어야하는 특정 쉘 스크립트가 실행하는 init. 공격자에서 사용하는 inittab을 시작하는 경우 우회,이 과정을 필드는 참조하여 프로그램 자체의 이름을 우회하거나 우회하는 스크립트를 시작하는 데 사용됩니다.

다른 시스템과 서비스를 초기화 스크립트를 수정

에 대한 대부분의 유닉스 시스템을 inittab 파일을 주로 말한다 init 스크립트를 실행하는 일련의 서비스를 초기화 한 상자에서 실행중인 다양한 서비스를 시작합니다. 대신에 변경 inittab 자체, 공격자는 이러한 다양한 서비스를 초기화 스크립트를 수정할 수도있는 그러한 서비스를 시작으로 httpd (을 웹 서버), 메일 전송 (로 인기가 메일 서버) 및 유동 (보안 셸 데몬 사용에 대한 보안 원격 액세스) . 에 따라 특별한 맛을적인 유닉스, 이러한 서비스를 초기화 스크립트는 종종에 저장 / 기타 / rc.d 또는 / 기타 / init.d 디렉토리입니다. 에 대한 일반적인 유닉스 시스템에는 20 명 이상이 같은 스크립트, 각 10에서 50 사이 라인 길이를 제공 비옥한 지상에 공장 a 우회합니다. 공격자는 단순히을 추가 우회 스크립트를 둘 중 하나를 디렉토리 또는 심지어 변경할 이미 - 기존의 스크립트를 차는 부팅 우회합니다. 예를 들면, 저는 새로운 서비스를 추가 할 수 불리는 httpb (참고 후행 "b"에 대한 우회하고있는 모양 "httpd"), 또는 심지어 이미 - 기존 스크립트를 수정합니다 시작되는 실질 httpd 있도록 처음 실행 나의 우회, 다음 귀하의 웹 서버를 시작합니다.

귀하의 최종 공격으로 시작 스크립트, 공격자가도 그냥 공장 a 뒷문으로 구성 파일을 하나의 기존 서비스를 초기화 스크립트가 실행됩니다대로 시작합니다. 예를 들어, 귀하의 시스템을 사상에서 사용하는 포인트 -가 - 포인트 프로토콜 (ppp)에 대한 모뎀이 다이얼 - 최대 연결, 해당 컴퓨터는 구성 스크립트를 실행하기 위해 노력할 것입라고 불리는 / 기타 / ppp / ip - up.local. 대부분의 시간을,이 스크립트는 필요하지 않습니다하므로 일반적으로 비어있습니다. 그러나, 나는 나의 우회 수 장소의 이름이이 파일에서, 그리고 할 때마다 전화 접속 모뎀을 사용하여, 내 싸 우회가 실행됩니다.

고 이후 inetd의 구성

이러한 편차가 시작 스크립트를 넘어, 공격자도 자주 변경을 구성하는 하나의 특정 프로세스를 지원하기 위해 널리 사용되는 네트워크 서비스, 즉 인터넷 데몬 (inetd를 읽습니다 "내 - 그물 - dee"). 일 유닉스 상자의 inetd 프로세스를 기다립니다 네트워크 트래픽에 대한 다양한 서비스를 비롯하여 ftp, 텔넷, 그리고 다른 사람입니다. 때 수신 트래픽을위한 inetd이 서비스 중 하나를 달리는 연결된 서버의 트래픽을 처리하기 위해 서비스를 실행하는 경우이 구성됩니다. 공격자 수를 수정하거나 추가 라인을 inetd 구성 파일을하고있는가 저장된에서 / 기타 / inetd.conf 파일 또는에서 / 기타 / xinetd.d 디렉토리에 따라 특별한 맛을적인 유닉스입니다. inetd의 구성을 수정하여, 공격자에게 알려 inetd를 실행하는 우회 특정 트래픽이 도착하면 특정 tcp 또는 udp 포트입니다. inetd 수정을 시작하는 우회는 하나의가 장 일반적인 우회 기법이 사용 유닉스 시스템을 상대로 오늘입니다. 우리 기업의 계층 구조를 비유, inetd가 이사를했지만있는 매우 중요한 하나입니다. 뇌물이 감독 공격자가 원격 액세스를 제공할 수있습니다 공사, 때문에 네트워크에 대한 연결을 inetd에서 대기합니다.

조정하는 사용자가 시작 스크립트

사용자가 로그인할 때 특정 명령을 실행 유닉스 시스템을하거나, 시스템을 활성화하는 다양한 스크립트가 사용자의 환경을 초기화합니다. 이러한 스크립트 사용자가 자신의 컴퓨팅 환경을 사용자 지정 기간 동안 특정 명령을 실행하여 로그인을합니다. 가 장 일반적인 사용자가 시동 파일은 아래 표에서 설명합니다. 공격자는 추가 포함된 단일 라인 중 하나의 이름을 우회하여 이러한 스크립트를 활성화하는 우회하면 스크립트가 실행됩니다. 제작 문제를 더욱, 이러한 스크립트는 흩어져 내내 사용자의 홈 디렉토리는 물론 홈 디렉토리에 superuser 계정의 시스템, 루트입니다. 이들은 단일 위치에 저장되지 않기 때문에, 관리자가 개별 사용자를 색출하는 데 문제가있을 수있습니다 '를 맞춤화는 이러한 파일입니다. 대부분의 이러한 스크립트는 10에서 50 사이 라인 길이를 다시 넉넉한 옵션에 대한 공격자가 맛보기에 정품 인증을 우회합니다.

사용자 로그인 또는 프로그램과 관련된 일반적인 스크립트 인증

사용자 스크립트 이름	관련 프로그램이 활성화 스크립트 및 일반적인 사용
. 로그인	csh 및 tcsh 쉘이 스크립트가 활성화되면 사용자가 로그인할
. cshrc	가 csh와 tcsh 쉘이 스크립트를 실행하는 경우 새로운 명령 셸이 시작됩니다.
. kshrc	이 스크립트를 실행하는 경우가 ksh 쉘 새로운 명령 셸이 시작됩니다.
. bashrc	이 스크립트를 실행하는 경우가 bash 쉘을 새로운 명령 셸이 시작됩니다.
. bash_profile	이 스크립트가 bash 쉘을 활성화하는 경우 사용자가 로그인할
/ 기타 / 프로필	이 시스템을 사용하면 모든 사용자가 로그로 명암이나 bash 쉘,이 스크립트가 활성화됩니다.
. 프로필	이후 / 기타 / 프로필이 실행 중에 사용자 로그인으로 명암이나 bash 쉘, 개별 최종 사용자의입니다. 프로필 파일이 활성화됩니다.
. 로그아웃	가 csh와 tcsh 쉘이 스크립트를 실행하는 경우 사용자가 로그 아웃됩니다.
. xinitrc	가 <enter> 명령을 호출합니다 x 윈도우 시스템의 환경 정보를이 파일에 저장됩니다 (일 redhat 리눅스 시스템의 경우,이 정보는 또한에 저장합니다. xclients 파일)입니다.
. xsession	가 xdm 프로그램이 사용이 파일을 구성하려면 초기 x 창 세션입니다.

예약 악한 일자리와 cron

하나의 최종 인기있는 방법을 활성화하기 유닉스 관련 예약은 직장에서 우회 우회를 실행하는 cron 데몬을 사용합니다. cron 작품 오히려 같은 windows 작업 스케줄러입니다. 특정 미리 정의된 시간, cron 실행 스크립트가 될 수있는가 포함 backdoors. cron crontab 파일을 사용하도록 구성되어있는가에 / 기타 / crontab와 / 기타 / cron.d에 대한 시스템 관리자가 작업을합니다. 개별 사용자가 예약된 작업을 만들 수도있습니다에서 / 기타 / 스풀 / cron 디렉토리입니다. 단일 항목을 추가하여 이러한 파일 중 하나, 공격자가 특정 시간에 일정을 우회를 시작하거나, 시스템을 초기화하는 동안합니다. 따라서, 사용 cron, 공격자가 시스템을 구성할 수있습니다 시작을 우회 매 시간마다, 이미 실행되지 않는 경우입니다. 이 방법을 사용하면 내 우회 과정 사상을 확보 사망하는 시스템 관리자, 시스템을 재부 팅, 또는 시스템 충돌을 드리겠습니다만을 기다릴 필요가 최대 1 시간 전에 나를 위해 기계를 다시 시작합니다.

방어 : 감지 유닉스 우회 선발 기법

따라서 서로 다른 지역을 추 최대의 모든 공격자 시작하는 데 사용할 수있습니다 뒷문을하실 수있습니다 살펴보고 수백 파일과 디렉터리, 구성된 몇 천 라인의 어려운 -가 - 읽기 스크립트가있습니다. 무엇인지 통증! 확실하게, 검색이 rat의 보금자리에 대한 backdoors 일이 아니다는 일반적인 인간의 못했습니다 정기적으로 수행합니다. 이런 이유로하는 자동화된 도구를 사용해야하는 내용이 변경될 때 알림을 사용자의 다양한 구성 파일 및 스크립트가이 섹션에 나와있습니다.

몇몇 인기있는 파일 무결성 검사 프로그램은 시중에서 사용할 수 있으며 무료 근거로 역할을하여 디지털 일꾼이 accomplishing이 목표입니다. 그들의 windows 같이 상대방이 우리가 설명한, 이러한 도구를 만들 데이터베이스의 암호화 해시는 디지털 지문처럼 행동의 중요한 시스템 파일을 주기적으로 확인하여 시스템 상태를 반대합니다.

엄청난 수의 파일 무결성 검사 도구를 사용할 수있다 유닉스입니다. 가 시상식의 이러한 도구는 장이란 인계 철선, 모두에서 사용할 수있습니다 유닉스에 대한 근거를 상용 및 무료 www.tripwire.com 및 www.tripwire.org를 각각합니다. 또한,이 무료, 오픈 소스 도구 보좌관 (www.cs.tut.fi/ ~ rammer / aide.html)와 osiris (http://osiris.shmoo.com/)과 유사한 검사를 수행합니다.