Backdoors Automatisch Beginnen

Share

|

Wenn ein Angreifer in ein System bricht und ein heimliches anbringt, aktivieren er oder sie normalerweise manuell das heimliche Programm. Jedoch wenn die Angreifermaschinenbordbücher aus Ihrer Maschine, ihm oder ihr heraus nicht mehr innen direkte Steuerung des Systems ist. So hält was, daß heimlicher Betrieb auf einer Alltagsgrundlage nach dem schlechten Kerl verlassen hat? Nehmen Sie Neuladen eines nervtötendes Systemverwalters das System an, oder das schlechter schon, die Maschine zusammenstößt. Wenn der Kasten oben wieder beginnt, wird das heimliche nicht irgendwie mehr laufen lassen und verweigern wird dem Angreifer seinen oder hart-gekämpften Zugang. Um dieses Interesse zu beheben, ändert der crafty Schuft normalerweise die Maschine um das heimliche auf einer periodischen Grundlage, besonders während des System Aufladung Prozesses automatisch wiederzubeginnen. In diesem Abschnitt besprechen wir, wie schlechte Kerle Systeme manipulieren, um automatisch sicherzustellen ihre backdoors wiederzubeginnen. Weil diese Methoden so schwer von der System Art abhängen, analysieren wir Windows und UNIX heimliche beginnende Einheiten separat.

Windows Backdoors aufstellen, um zu beginnen

Windows Maschinen gießen mit unterschiedlichen automatischen Programm Start-upfähigkeiten aus. Ein Angreifer konnte den Namen eines vollziehbaren Programms oder des Indexes in irgendeinen einer Vielzahl von Positionen automatisch legen, um das Betriebssystem dieses Programm starten zu lassen. Allgemeines sprechend, bieten Windows Maschinen drei unterschiedliche Arten Einheiten für automatisch beginnenden böswilligen (oder sogar nonmalicious) Code an: eine Handvoll Selbststartakten und -hefte, eine Fülle Registereinstellungen und zeitlich geplante Aufgaben.

Ändern der Startakten und der Hefte

Lassen Sie uns durch besprechende Startakten anfangen und folders.The Tabelle folgend beschreibt einige Positionen, die automatisch willkürliche executables und Indexe auf einem Windows System, wenn spezifische Fälle auftreten, wie System Aufladung oder einem gegebenen Benutzer, der in die Maschine loggt aktivieren. Ein Angreifer konnte den Namen eines heimlichen Programms in irgendwelchen dieser Akten oder Hefte einschließen, um es zu erhalten, um auf das Zielsystem automatisch zu laufen.

Windows Startakten und Hefte

Akte oder Heft-Name	Wie Akte oder Heft geändert werden können, um ein heimliches automatisch zu aktivieren
Selbststart-Hefte	Der Angreifer legt das heimliche oder eine Verbindung zu ihm in diese Hefte, die am Start aktiviert werden, oder während ein Benutzer zum System anmeldet. Auf Win95/98/Me hält ein einzelnes Heft diese Informationen, gelegen an C:\Windows\Start Menu\Programs\StartUp. Systeme WinNT/2000/XP/2003 schließen ein Selbststartheft mit ein, normalerweise verbunden mit "allen Benutzern," sowie die einzelnen Selbststarthefte für einzelne Benutzer, gelegen an den folgenden Positionen: WinNT— C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp Win2000— C:\Documents und Settings\[user_name]\Start Menu\Programs\StartUp und (wenn Sie von Windows NT verbessert werden) und C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp WinXP/2003— C:\Documents und Settings\[user_name]\Start Menu\Programs\Startup
Win.ini	Win.ini enthält Informationen über die Initialisierung des Betriebssystems. Diese Akte kann geändert werden, um ein heimliches in zwei Möglichkeiten zu beginnen. Zuerst könnte sie ein Programm direkt durchführen, das in der Akte mit dem Text "run=[backdoor ]" oder "load=[backdoor ]" bezog. Zweitens könnte sie irgendein Suffix (z.B., "doc" oder "htm") mit einem heimlichen Programm verbinden, das jedesmal eine Akte mit solch einem Suffix wird durchgeführt durch das System laufen lassen würde. Diese Akte Position schwankt, aber sitzt gewöhnlich in: Win95/98/Me— C:\Windows\win.ini WinNT/2000— C:\Winnt\win.ini WinXP/2003— C:\Windows\win.ini
System.ini	Diese Akte enthält Einstellungen für die Kleinteile des Systems. Auf Windows 3.X und Windows 9X, stützte diese Akte das "Oberteil =" Befehl, der verwendet wird, um ein Benutzeroberteil zu spezifizieren, um zur System Aufladung Zeit auszustoßen. Das Oberteil ist das Hauptschnittstelle Programm, das alle Benutzer sehen, wenn sie die Maschine aufladen. Angreifer ändern häufig die Linie "shell=explorer.exe", damit, anstatt, das Windows Forscher GUI zu starten durchführt, das System ein heimliches während die System Aufladungen. Das heimliche dann beginnt der Reihe nach das tatsächlichen Oberteil des Benutzers, das normalerweise explorer.exe ist. Auf neueren Windows Versionen (WinNT/2000/XP/2003), ignoriert das Betriebssystem das "Oberteil =" Syntax in System.ini. Folglich wird diese Methode nicht verwendet, um ein heimliches auf diesen neueren Betriebssystemen zu beginnen. Diese Akte sitzt normalerweise in den folgenden Plätzen: Win95/98/Me— C:\Windows\System.ini WinNT/2000— C:\Winnt\System.ini Windows XP/2003— C:\Windows\System.ini
Wininit.ini	Diese Akte wird durch Einstellung Programme hergestellt, wenn neue Software angebracht wird und etwas Tätigkeit durch das System angefordert wird, um die Installation nach Neuladen durchzuführen. Z.B. wenn Sie einen neuen Kleinteiltreiber anbringen, Ihr bringen Sie Programm konnte Sie das System neu laden lassen an. Da das System neu lädt, läßt eine Eintragung in Wininit.ini irgendein Programm während des Aufladung Prozesses laufen. Wechselweise kann diese Akte benutzt werden, um den Namen von irgendeinem allgemein verwendetem vollziehbarem zu stehlen und ihn einem heimlichem zuzuweisen. Wenn sie verwendet wird, sitzt die Akte normalerweise in: Win95/98/Me— C:\Windows\wininit.ini WinNT/2000— C:\Winnt\wininit.ini Windows XP/2003— C:\Windows\Wininit.ini
Winstart.bat	In den älteren Windows Systemen (Gewinn 9X), wird diese Akte normalerweise benutzt, um alte MS-DOSPROGRAMME in einem Windows Klima zu starten. Ein Angreifer konnte eine Linie mit der Syntax "@[backdoor einschließen ]", um ein vollziehbares laufen zu lassen und es vom Benutzer zu verstecken. Wenn er anwesend ist, sitzt er gewöhnlich in C:\Winstart.bat.
Autoexec.bat	Diese Akte ist nur auf Windows 95/98 Systeme relevant. Sie wird auf Windows ich, NT, 2000, XP und 2003 ignoriert. Für rückwärtige Kompatibilität stützt sie ausstoßende Programme durch einfach einschließlich eine Linie, die auf die Programmakte sich bezieht, wie "C:\[backdoor ]". Wenn sie anwesend ist, sitzt sie gewöhnlich in C:\Autoexec.bat.
Config.sys	Diese Akte ist nur auf Windows 95/98 Systeme relevant. Sie wird auf Windows ich, NT, 2000, XP und 2003 ignoriert. Diese Akte lädt niedrige Ms-DOS-GEGRÜNDETE Treiber, und ist nicht auf einigen Windows Systemen enthalten. Sie könnte eine Linie einschließen, um ein heimliches durchzuführen. Wenn sie anwesend ist, sitzt diese Akte normalerweise in C:\Config.sys.

Register-Mißbräuche

Über Akten und Heften hinaus können einige Registerschlüssel mißbraucht werden, mit dem Ziel ein heimliches automatisch aktivieren. Das Register ist eine Mammutdatenbank, welche die ausführliche Konfiguration des Windows Betriebssystems unterbringen und verschiedene Programme, die auf den Kasten angebracht werden. Jeder der Schlüssel kann mit dem Regedit.exe Programm, ein Registerherausgeber geändert werden, der in Windows NT/2000/XP/2003 Maschinen errichtet wird. Wenn Sie planen, mit irgendwelchen dieser Schlüssel zu experimentieren, ist es extrem wichtig, daß Sie eine Unterstützung von Ihrem System bilden, bevor Sie das Register zwicken. Wenn Sie versehentlich irgendeinen kritischen Schlüssel in Ihrem Register ändern, konnten Sie Ihre Maschine vollständig mit einem Schlauch bespritzen und es unbootable bilden. So geben Sie bitte acht. Die kritischen Registerschlüssel für automatisch beginnende Programme werden unten gezeigt:

Register-Schlüssel, die Programme über LOGON starten oder neu laden

Register-Schlüssel	Zweck des Schlüssels
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServicesOnce	Einige Programme werden zum Durchlauf in den Hintergrund auf eine Windows Maschine als Service, wie das IIS web server oder die Akte und der Druck angebracht, die Dienstleistungen teilen. Dieser Registerschlüssel kennzeichnet, welche Dienstleistungen während nur des folgenden Neuladens und des folgenden Neuladens begonnen werden sollten. Für alle folgenden Aufladungen werden die Dienstleistungen nicht begonnen
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServices	Dieser Registerschlüssel enthält eine Liste der an jeder System Aufladung ausgestoßen zu werden Dienstleistungen.
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce	Dieser Registerschlüssel kennzeichnet, der (nicht Dienstleistungen) sollte während nur des folgenden Neuladens und des folgenden Neuladens begonnen werden programmiert. Für alle folgenden Aufladungen werden die Programme nicht durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Run	Diese Programme werden während der System Aufladung durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnceEx	Nur vorhanden auf Windows 98 und mir, zeigt dieser Registerschlüssel Indexe und Programme an, die an der Aufladung Zeit gelaufen werden sollen, aber sollte nicht als unterschiedliche Prozesse begonnen werden. Um Leistungsfähigkeit zu verbessern, werden diese Programme nicht als unterschiedliche Prozesse laufen gelassen, aber werden anstatt als unterschiedliche Gewinde innerhalb der vielen Aufladung Prozesse angerufen.
HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\Userinit	Dieser Schlüssel enthält die Namen der durchgeführt zu werden Programme, wenn alle mögliche Benutzermaschinenbordbücher auf das System. Er zeigt gewöhnlich GUI des Benutzers an
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad	Dieser Registerschlüssel aktiviert Programme, nachdem das Windows GUI oben beginnt, wie der System Behälter in der unteren rechten Ecke von Windows und von seinem Inhalt.
HKLM\SOFTWARE\Policies\Microsoft \Windows\System\Scripts	Dieser Schlüssel kennzeichnet verschiedene Indexe, die durchgeführt werden, wenn Windows oben auflädt.
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Explorer\Run	Die Programme, die durch diesen Registerschlüssel gekennzeichnet werden, werden gestartet, wenn das Benutzer GUI (explorer.exe) aktiviert wird.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServicesOnce	Dieser Registerschlüssel kennzeichnet, welchen Dienstleistungen naechstes Mal begonnen werden sollten ein Benutzer anmeldet, nur einmal. Für alle folgenden LOGON werden die Programme nicht durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServices	Diese Dienstleistungen sind begonnene jedesmal Maschinenbordbücher eines Benutzers auf das System.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce	Diese Programme werden einmal wenn Maschinenbordbücher eines Benutzers auf das System aktiviert.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\Run	Diese Programme sind laufen gelassene jedesmal Maschinenbordbücher eines Benutzers auf die Maschine.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnceEx	Diese Programme werden durchgeführt, ohne einen anderen System Prozeß zu beginnen.
HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Explorer\Run	Diese Programme werden jede Zeit Maschinenbordbücher eines Benutzers auf das System laufen gelassen.
HKCU\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows\Run	Diese Programme werden jede Zeit Maschinenbordbücher eines Benutzers auf das System laufen gelassen.
HKCU\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows\Load	Diese Programme werden jede Zeit Maschinenbordbücher eines Benutzers auf das System laufen gelassen.
HKCU\SOFTWARE\Policies\Microsoft \Windows\System\Scripts	Diese Indexe sind aktivierte jedesmal Maschinenbordbücher eines Benutzers auf die Maschine.
HKCR\Exefiles\Shell\Open\Command	Dieser Schlüssel zeigt an, daß Programme, die jederzeit laufen gelassen werden, eine andere EXE Akte, ein sehr häufiges Auftreten auf einer Windows Maschine durchgeführt wird, um sicher zu sein!

Whew! Die ist eine lange, häßliche Liste, aber es ist wichtig, zu erkennen, daß es ein schreckliches Los Plätze gibt, die ein Angreifer squirrel weg den Namen von irgendeinem schrecklich schlechtem heimlichem, um ihn zu erhalten begann könnte. Obgleich diese Liste erschöpfen konnte, ist sie nicht vollständig. Gegenwärtige und zukünftige Versionen des Windows Willen haben wahrscheinlich sogar mehr Registereinstellungen für Software automatisch beginnen, da die Kompliziertheit von Windows mit jedem folgenden angebrachten System Flecken, Freigabe wächst, und Anwendung.

Merken Sie, daß einige dieser Registereinstellungen mit den Buchstaben HKLM beginnen und andere mit HKCU beginnen. In beiden Fällen steht das H für Bienenstock, ein Hinweis auf einem Klumpen des Windows Registers. HKLM steht für lokale Maschine des Bienenstockschlüssels und zeigt systemwide Einstellungen an. HKCU steht für gegenwärtigen Benutzer des Bienenstockschlüssels und kennzeichnet Einstellungen für die Person, die z.Z. in die Windows Maschine geloggt wird. Die meisten der Zeit, für das Starten Programme und Dienstleistungen, die HKLM Einstellungen werden zuerst durchgeführt, gefolgt durch die HKCU Einzelteile. Auch HKCR, die für Bienenstockschlüsselkategorien steht, verwurzeln, kennzeichnen verschiedene Programme, die von Windows unter spezifischen Fällen geöffnet werden. Angelegenheiten schlechter bildend, ist diese Liste der Startbestandteile nicht die einzige Weise, Programme innerhalb Windows automatisch zu starten. Wir müssen einen Blick an der Aufgabenprioritätssteuerung noch nehmen.

Untergraben der Aufgabenprioritätssteuerung

Eine abschließende populäre Methode für ein heimliches auf Windows NT/2000/XP/2003 Maschinen automatisch beginnen bezieht mit ein, eine Aufgabe festzulegen, auf das System zu laufen. Mit dem Aufgabenprioritätssteuerung Service kann ein Angreifer das System erklären, ein spezifisches Programm an den spezifischen Zeitpunkten, auf spezifische Daten oder wenn bestimmte Fälle auftreten, wie System Aufladung oder Benutzer-LOGON laufen zu lassen.

Sie können neue Aufgaben auf Ihrem System festlegen oder die ansehen, die bereits indem Sie das zeitlich geplante Aufgaben GUI in der Systemsteuerungverkleidung festgelegt werden, verwenden. Wechselweise konnten Sie an der Befehl-Linie Werkzeug auf Windows NT, 2000 verwenden, und XP oder die schtasks befehlen Windows.xp und 2003 entweder zu den Ansicht- oder Zeitplanaufgaben. zeigen das GUI und die Befehl Linie eine hochqualifizierte Ansicht der Programme, die festgelegt werden, um auf das System zu laufen. Das Detail stellte von am Befehl ist nützlich zur Verfügung. Um diese Art der Informationen aus dem GUI heraus zu erhalten, würden Sie die einzelnen Aufgaben an klicken müssen, die im zeitlich geplanten Aufgaben Heft gezeigt wurden. Eine nette Sache über die GUI Ansicht ist, daß sie alle Aufgaben einschließt, die durch die Aufgabenprioritätssteuerung, einschließlich die Zeit-gegründete und System Start-uptätigkeiten hervorgerufen werden. Beachten Sie, daß die Aufgabe mit einer Identifikation Anzahl von 2 eine Befehl Linie einschließt, um backdoor.exe laufen zu lassen. Gee, wundere mich ich, was dieses tun konnte!

Verteidigung: Ermitteln Windows Der Heimlichen Beginnenden Techniken

So haben Angreifer ein Bündel Weisen, ein heimliches auf Windows aufzustellen, um lang zu laufen, nachdem der schlechte Kerl verlassen hat. Um solche Angriffe zu verhindern, müssen Sie die schlechten Kerle Ihres Systems an erster Stelle weg halten. Eine kleine Verhinderung geht ein langer Weg, wenn sie diese Art des Angriffs stoppt.

Jedoch gleichmäßig mit den größten vorbeugenden Schritten, einige Angreifer konnte ruhige Entdeckung eine Weise innen. So über Verhinderung hinaus, wie können Sie die Rekonfigurierung eines Angreifers Ihres Systems ermitteln, um ein heimliches automatisch zu beginnen? Gut konnten Sie jede Akte und Heft jeder Registerschlüssel, der oben in der Tabelle gezeigt wurden und die zeitlich geplanten Aufgaben manuell überprüfen, zu sehen, wenn fischartiges etwas festgelegt worden ist. Leider alle diese Möglichkeiten manuell erfordert überprüfen die gobs der Frustrierenzeit ausgegeben in der kalten, einsamen Lokalisierung.

Glücklich gibt es ein nettes freies Werkzeug, das AutoRuns genannt wird, der zur Rettung kommt. Vorhanden an keiner Aufladung von den feinen Völkern bei Sysinternals an www.sysinternals.com, verzeichnet dieses Programm automatisch alle automatisch beginnenden Aufgaben auf Ihrem Windows NT/2000/XP Kasten, einschließlich Starthefte, Akten, Registereinstellungen und zeitlich geplanten Aufgaben. Das AutoRuns Werkzeug zeigt nicht nur die vielen unterschiedlichen Start-upregisterschlüssel, -hefte und -aufgaben, die während des Systems verteilt werden an, aber es zeigt auch die Werte, die sie auf eingestellt worden sind. Sie können den genauen Namen jedes Programms, Services oder Indexes sehen, der während des Starts für jede Methode durchgeführt erhält. Die ist eine handliche zu habende Liste, für Sicherheit und Überprüfungszwecke. Mit AutoRuns müssen Sie nicht durch ein Bündel Registerschlüssel und -hefte graben, zum zu sehen, welche Programme während der System Aufladung durchgeführt werden. Alle die Informationen wird zusammen in einem netten GUI gesammelt, das sogar zu jedem Heft- oder Registerschlüssel automatisch springen stützt, also Sie seinen Wert leicht redigieren können.

Ich bin zweifellos ein grosser Ventilator von AutoRuns, aber er hat eine bemerkenswerte Beschränkung, wenn er verwendet wird, verschiedene automatisch laufende backdoors zu finden. AutoRuns tut genau, was es annonciert: Es zeigt jene Programme und Indexe, die aktiviert werden, wenn das System oben oder spezifische Benutzer beginnt anzumelden. Jedoch mit seinem Fokus auf nur Start- und LOGON-Fällen, AutoRuns zeigt keine Aufgaben, die zum Durchlauf festgelegt werden, der auf spezifischen Zeitpunkten des Tages basiert. Ein Angreifer könnte ein heimliches festlegen, um jeden Morgen um 3:00 a.m. wiederzubeginnen, und AutoRuns zeigt es nicht, weil es auf Zeit basiert. So wenn Sie auf AutoRuns bauen, um backdoors automatisch beginnen zu finden, erinnern Sie, sich daß Sie die zeitlich geplanten Aufgaben noch überprüfen müssen, indem Sie in der zeitlich geplanten Tasksteuerungverkleidung schauen laufen, am Befehl, oder die an schtasks befehlen verwenden.

Zusätzlich konnten Sie ein Akte Vollständigkeit Überprüfung Programm verwenden, um Ihre Windows Maschinen nach allen möglichen Änderungen der kritischen System Akten und der Registerschlüssel zu suchen. Diese Programme enthalten eine Datenbank der bekannten guten Fingerabdrücke der kritischen System Akten und der Registerwerte, einschließlich jene Akten und Verzeichnisse, die mit Einschalten- der Anlage und Benutzerinitialisierung verbunden sind. Wenn eine Änderung ermittelt wird, alarmiert das Werkzeug Sie, daß also Sie darstellen können aus, wem die Änderung vornahm: ein Systemverwalter, der Standardsystem Wartung oder einen schlechten Angreifer durchführt, verbog auf Weltherrschaft. Nach der Initialisierung des Werkzeugs, um die Datenbank der Fingerabdrücke zu verursachen, können Sie das Akte Vollständigkeit Überprüfung Programm festlegen, um regelmäßig, wie jeden Tag oder sogar jede Stunde zu laufen. Wenn es läuft, überprüft das Werkzeug auf Änderungen zu den Akten, die Sie es erklären aufzupassen. Wenn es eine Änderung bis eine des Starts oder die Benutzerinitialisierung Akten findet, die in diesem Abschnitt beschrieben werden, dann muß der Systemverwalter alle mögliche Änderungen mit neuer gesetzmaßiger System Tätigkeit versöhnen. Der Akte Vollständigkeit Kontrolleur fungiert wie ein menschlicher Sicherheit Schutz und überwacht Ihr System für nicht autorisierte Änderungen polizeilich.

Wenn der Verwalter gesetzmaßig einen Flecken anbrachte, den Aufladung Prozeß zwickte oder eine Anwenderkonfiguration änderte, ist der Alarm des Werkzeugs bloß eine falsche Warnung. Andernfalls konnte ein Angreifer auf dem Prowl sein und die Anlagenkonfiguration ändern, um ein heimliches oben zu beginnen. Dieser Versöhnungprozeß ist nicht für das schwache des Herzens. Er erfordert ziemlich viel von der Bemühung auf dem Teil des Systemverwalters, aber ist weit einfacher als, die Vollständigkeit jeder einzelnen Akte und Verzeichnisses eigenhändig überprüfend. Zahlreiche Windows Akte Vollständigkeit Überprüfung Programme sind, einschließlich die kommerzielle Version von Tripwire, an www.tripwire.com vorhanden. Leider stützt die freie Version von Tripwire nicht Windows. Einiges sind andere Akte Vollständigkeit, die Werkzeuge überprüft, für Windows, einschließlich GFI LANguard System Vollständigkeit Monitor und Ionx Daten-Hinweissymbol vorhanden.

Beginnen von von UNIX Backdoors

Sicher, ist eine Windows Systeme Angebotmenge Weisen, Programme, durchzuführen automatisch anzufangen, aber UNIX kein slouch auch nicht. In der Tat sind UNIX Systeme in ihrem Geschmack für das Starten Indexe und Programme extrem ausschweifend. Wie mit Windows, jede konnte dieser Techniken mißbraucht werden, um ein heimliches zu beginnen. Auf UNIX fallen ändern ändern die Techniken in einige Kategorien, einschließlich das Addieren oder das Ändern der Systemeinleitung Indexe und die Konfiguration des Internet-Dämons (inetd), eine Anwenderkonfiguration, und legen Jobs fest.

Ändern der Uber-Prozeß Config: inittab

Wenn ein UNIX System aufgeladen wird, läßt es eine Vielzahl der Initialisierung Indexe und der Programme laufen. Der erste Prozeß, zum auf eine UNIX Maschine zu laufen ist der init Dämon, der alle weiteren Prozesse aktiviert, die während der System Aufladung benötigt werden. Die Akte /etc/inittab enthält ein Index, init erklärend, was andere Prozesse es beginnen sollten. Ein Angreifer könnte eine Linie der inittab Akte hinzufügen, die oben eigenes heimliches des Angreifers als Teil der Aufladung Reihenfolge beginnt. Die inittab Akte enthält Eintragungen mit dem Format [ id]:[rstate]:[action]:[process ], definiert, wie folgt:

• Die Kennzeichnung ist eine einzigartige Zahl, die dieser Eintragung, gerade vier Buchstaben zugewiesen wird, die nicht für irgendeine andere Eintragung benutzt werden sollten.

• Das rstate ist das Durchlaufniveau, das die Eintragung auslöst. Wenn Sie ein UNIX System aufladen, können Sie ein Durchlaufniveau anzeigen, um zu kennzeichnen, welchem Niveau von Dienstleistungen Sie benötigen, wann das System oben beginnt. Das Durchlaufniveau kann eingestellt werden, um Laden des Betriebssystems zum Einbenutzermodus, der sehr wenige Dienstleistungen erfordert, oder das Ändern zum Multibenutzermodus zu spezifizieren, der mehr Dienstleistungen erfordert.

• Die Tätigkeit spezifiziert was init mit dem bestimmten Programm tun sollte, wie Wiederbeginnen eines Prozesses, wenn sie gestorben ist, einen Prozeß einmal durchführen oder der Durchführung er, jedesmal wenn das System aufgeladen wird. Einen Prozeß wiederzubeginnen, wenn es stirbt, ist wirklich handliches Verhalten für ein heimliches Programm.

• Der Prozeß fangen ist auf, wo Sachen interessant erhalten. Er zeigt einen spezifischen Oberteilindex an, der durch init durchgeführt werden sollte. Wenn ein Angreifer das inittab benutzt, um ein heimliches zu beginnen, fangen der Prozeß sich bezieht den Namen des heimlichen Programms selbst oder einen auf Index, der benutzt wird, um das heimliche zu beginnen auf.

Ändern anderer System und Service-Initialisierung Indexe

Auf den meisten UNIX Systemen erklärt die inittab Akte normalerweise init, eine Reihe Service-Initialisierung Indexe laufen zu lassen, um verschiedene Dienstleistungen zu beginnen, auf einen Kasten zu laufen. Anstatt, inittab selbst zu ändern, könnte ein Angreifer diese verschiedenen Service-Initialisierung Indexe auch ändern, die solche Dienstleistungen wie httpd (ein web server), sendmail (ein populäres mail server) und sshd beginnen (der sichere Oberteildämon verwendet für sicheren Fernzugriff). Abhängig von Ihrem bestimmten Aroma von UNIX, halten diese Initialisierung Indexe werden gespeichert häufig in den /etc/rc.d oder /etc/init.d Verzeichnissen instand. Auf einem typischen UNIX System gibt es 20 oder mehr solche Indexe, jede 10 bis 50 Linien sich sehnen und stellt fruchtbaren Boden zur Verfügung, um ein heimliches zu errichten. Ein Angreifer konnte einen heimlichen Index einem dieser Verzeichnisse einfach hinzufügen oder sogar ändert die bereits-vorhandenen Indexe, um weg von einem heimlichem zu treten. Z.B. könnte ich einen neuen Service addieren, der httpb genannt wurde (merken Sie das schleppende "b" für heimliches, das wie "httpd" aussieht) oder sogar ändere den bereits-vorhandenen Index, der das reale httpd damit es erst Läufe mein heimliches beginnt und dann Ihr web server beginnt.

Als abschließender Angriff gegen Ihre Startindexe, könnte ein Angreifer gerechten Betrieb ein heimliches in eine Konfiguration Akte glätten, die einer der vorhandenen Service-Initialisierung Indexe laufen läßt, wie er oben beginnt. Z.B. wenn Ihr System überhaupt den Punkt zum Punkt Protokoll (PPP) für anwählbare Anschlüsse des Modems benutzt, versucht die Maschine, einen Konfiguration Index durchzuführen, der /etc/ppp/ip-up.local genannt wird. Die meisten der Zeit, dieser Index ist nicht erforderlich, alsoIST es normalerweise leer. Jedoch könnte ich den Namen von meinem heimlichen in diese Akte und jedesmal wenn Sie herauf das Verwenden Ihres Modems wählen, meinen bösen heimlichen Willensdurchlauf legen.

Gehen nach Konfiguration der inetds

Über diesen mannigfaltigen Startindexen hinaus ändern Angreifer auch häufig die Konfiguration von einem bestimmten Prozeß, der allgemein verwendet wird, um Vermittlungsdienste, nämlich den Internet-Dämon (das inetd, ausgesprochen "Ichnetz-dee") zu stützen. Auf einem UNIX Kasten wartet der inetd Prozeß Netzverkehr für eine Vielzahl von Services, einschließlich ftp, telnet und andere. Wenn inetd den Verkehr empfängt, der für eine dieser Dienstleistungen bestimmt ist, läßt es den verbundenen Bediener laufen, um den Verkehr anzufassen, wenn es zusammengebaut wird, um den Service laufen zu lassen. Angreifer konnten eine Linie der inetd Konfiguration Akte, die in der /etc/inetd.conf Akte oder im /etc/xinetd.d Verzeichnis gespeichert wird, abhängig von dem bestimmten Aroma von UNIX ändern oder hinzufügen. Indem er Konfiguration der inetds änderte, könnte ein Angreifer inetd erklären, ein heimliches laufen zu lassen, wenn spezifischer Verkehr für ein bestimmtes TCP oder UDP Tor ankommt. Das ändernde inetd, zum ein heimliches zu beginnen ist eine der allgemeinsten heimlichen Techniken im Gebrauch gegen UNIX Systeme heute. In unserer korporativen Hierarchie Analogie ist inetd ein Direktor, aber ein extrem wichtiges. Das Bestechen dieses Direktors könnte einem Angreifer Fernzugriff zur Korporation geben, weil inetd im Netz auf Anschlüssen hört.

Justage Der Benutzer-Start-Indexe

Wenn Maschinenbordbücher eines Benutzers innen zu zu einem UNIX System oder bestimmten Befehlen der Durchläufe, das System eine Vielzahl der Indexe aktiviert, um die Anwenderkonfiguration zu initialisieren. Diese Indexe ließen Benutzer ihr rechnendes Klima besonders anfertigen, indem sie spezifische Befehle während des LOGON laufen ließen. Die Startakten des gemeinsten Benutzers werden in der Tabelle unten beschrieben. Ein Angreifer könnte eine einzelne Linie hinzufügen, die den Namen von einem heimlichem irgendeinem dieser Indexe enthält, um heimliches das zu aktivieren, wenn der Index laufen gelassen wird. Angelegenheiten gleichmäßiges schlechteres bildend, werden diese Indexe während der Hauptverzeichnisse der Benutzer, sowie das Hauptverzeichnis für das Benutzerkonto auf dem System, Wurzel zerstreut. Weil sie nicht in einer einzelnen Position gespeichert werden, können Verwalter Mühe haben, hinunter Kundenbezogenheit der einzelnen Benutzer dieser Akten aufzuspüren. Viele dieser Indexe sind 10 bis 50 lange Linien, wieder anbietenlose von den Wahlen, damit ein Angreifer in der Aktivierung von einem heimlichem schleicht.

Allgemeine Indexe verbanden mit Benutzer-LOGON-ODER Programm-Aktivierung

Benutzer-Index-Name	Verbundenes Programm, das Index und typischen Verbrauch aktiviert
login	Die csh und tcsh Oberteile aktivieren diesen Index wenn Maschinenbordbücher eines Benutzers innen.
cshrc	Die csh und tcsh Oberteile lassen diesen Index laufen, wenn ein neues Befehl Oberteil begonnen wird.
kshrc	Das ksh Oberteil läßt diesen Index laufen, wenn ein neues Befehl Oberteil begonnen wird.
bashrc	Das Schlagoberteil läßt diesen Index laufen, wenn ein neues Befehl Oberteil begonnen wird.
bash_profile	Das Schlagoberteil aktiviert diesen Index wenn Maschinenbordbücher eines Benutzers innen.
/etc/profile	Wenn schlagen alle mögliche Benutzermaschinenbordbücher in das System mit dem SH oder Oberteile, dieser Index wird aktiviert heftig.
profile	Nachdem /etc/profile während des Benutzer-LOGON mit dem SH laufen gelassen oder Oberteile heftig schlägt ist, wird Akte das profile eines einzelnen Endbenutzers aktiviert.
logout	Die csh und tcsh Oberteile lassen diesen Index laufen, wenn ein Benutzer heraus loggt.
xinitrc	Der startx Befehl, der das X Fenstersystem hervorruft, speichert seine Klimainformationen in dieser Akte (auf RedHat wird Linux Systemen, diese Informationen auch in der Xclients Akte gespeichert).
xsession	Das xdm Programm benutzt diese Akte, um den Ausgangsx Fensterlernabschnitt zusammenzubauen.

Festlegende schlechte Jobs mit Cron

Eine abschließende populäre Methode für das Aktivieren ein heimliches auf UNIX bezieht mit ein, einen Job festzulegen, der das heimliche mit dem cron Dämon laufen läßt. Cron arbeitet eher wie die Windows Aufgabenprioritätssteuerung. Zu bestimmten vorbestimmten Zeiten führt cron Indexe durch, die backdoors mit einschließen konnten. Cron wird mit crontab Akten zusammengebaut, die in /etc/crontab und in /etc/cron.d für Systemverwalterjobs gefunden werden. Einzelne Benutzer können zeitlich geplante Jobs im /etc/spool/cron Verzeichnis auch verursachen. Indem er eine einzelne Eintragung irgendeiner dieser Akten hinzufügte, könnte ein Angreifer ein heimliches festlegen, um zu einem spezifischen Zeitpunkt oder während der Systemeinleitung zu beginnen. So mit cron, kann ein Angreifer das System zusammenbauen, um das heimliche jede Stunde oben zu beginnen, wenn er nicht bereits läuft. So, wenn mein heimlicher Prozeß überhaupt durch einen Systemverwalter, ein Maschine Neuladen oder einen Systemabsturz getötet erhält, muß ich nur ein Maximum von warten, eine Stunde bevor die Maschine es für mich wiederbeginnt.

Verteidigung: Ermitteln UNIX Der Heimlichen Beginnenden Techniken

So zusammenzählend alle unterschiedlichen Bereiche kann ein Angreifer verwenden, ein heimliches zu beginnen, konnten Sie mehreree hundert Akten betrachten und die Verzeichnisse, bestehend aus einigen tausend Linien von schwierig-zu-lasen Indexe. Was für Schmerz! Offenbar des Nestes dieser Ratte nach backdoors ist zu suchen nicht etwas, das ein typischer Mensch regelmäßig tun könnte. Für diesen Grund sollten Sie ein automatisiertes Werkzeug benutzen, das Alarme Sie, wenn Änderungen an den verschiedenen Konfiguration Akten und den Indexen vorgenommen werden, die in diesem Abschnitt verzeichnet werden.

Einige populäre Akte Vollständigkeit Überprüfung Programme sind vorhanden auf einer kommerziellen und freien Grundlage, als Ihre digitalen Bediensteten zu dienen, wenn sie dieses Ziel erreichen. Wie ihre Windows Gegenstücke, die wir früh besprachen, verursachen diese Werkzeuge eine Datenbank von Verschlüsselungs hackt diese Tat wie digitale Fingerabdrücke Ihrer kritischen System Akten und überprüft regelmäßig Ihren System Zustand gegen ihn.

Eine sehr große Zahl von Akte Vollständigkeit Werkzeuge überprüfend sind für UNIX vorhanden. Der Granddaddy dieser Werkzeuge ist das venerable Tripwire, das auf einer kommerziellen und freien Grundlage für UNIX an www.tripwire.com und an www.tripwire.org ,beziehungsweise vorhanden ist. Auch der freie, geöffnete Quellwerkzeuge ADJUTANT (www.cs.tut.fi/~rammer/aide.html) und das Osiris (http://osiris.shmoo.com/) führen ähnliche Überprüfungen durch.