瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » [转贴] 攻击者如何从后门发起攻击?
阳儿绝版 - 2005-11-2 11:30:00
如果您回到家发现窗户玻璃被打破,家里被洗劫一空,很明显有盗贼入门行窃。但是,如果贼知道进入您家的秘密通道,而通过这个通道他不会被发现,他小心地不弄乱任何东西,那么您可能永远不知道有贼。

  正因为如此,电脑攻击者常常安装后门程序。后门是通向您电脑系统的秘密的或隐藏的通道,它能够让攻击者在您不发觉的情况下多次访问您的电脑。那么我们可能会问:“攻击者最初是怎样在我的电脑上装上后门软件的?”

  在大多数情况下是通过特洛伊木马或者类似的黑客软件。 和希腊神话中的特洛伊木马一样,特洛伊木马程序也是通过伪装攻击,它是藏在看起来很友好或者很有用的软件中的一段恶意攻击代码。特洛伊木马不会自动运行,但是常常设计成欺骗或引诱用户运行这段可运行程序。

  特洛伊木马的恶意攻击代码可能是多种,比如像 Sub7 或Back Orifice这样的后门程序。后门一般在被攻击机器上安装服务器端,然后这个服务器端启动特定的端口或服务,使攻击者通过后门软件的客户端连接。 一些后门程序甚至能够在被攻击机器连接网络时通知攻击者。

  您可以通过很多方法防止您电脑被后门软件攻击。首先,很明显:

  1. 不要执行任何未知的e-mail附件文件

  2. 不要安装任何盗版或存有疑问的软件

  3. 不要运行任何通过即时通讯软件接收到的附件文件

  4. 格外小心通过像Kazaa这样的P2P网络系统下载的文件

  5. 及时更新杀毒软件

  还有其他一些可以注意的:

  有很多像Back Officer Friendly这样的工具(NFR Security公司免费提供)能够监控您的系统,当您试图安装后门软件时发出警告。这个软件专门用于检测Back Orifice后门,但也可用于检测其他可以的端口扫描。

  如果您怀疑系统是不是已经被攻击,您可以使用Foundstone公司的产品如Vision。Vision建立可执行程序和所用的端口的映射,使您能够识别出可疑的应用程序。Chrootkit是另一有用的工具。 它能帮助识别被后门修改的系统二进制代码,然后运行一些测试检查是否存在后门或其他系统攻击。


    转自第八军团
1
查看完整版本: [转贴] 攻击者如何从后门发起攻击?