Нестандартні backdoor-и в * nix. Як створити свій незвичайний backdoor
Xakep, номер # 046, стор. 046-054-1
Існує купа способів залишитися в системі. Зараз в основному використовується два підходи: підбір пароля і скачування з чергового пакетсторма і подальша установка якогось крутого бекдора by w00w00. Перший спосіб, як варіант для найобдарованіших, далі розглядатися не буде. Другий хоча і має право на життя, теж буде посланий - ми як-не-як творчі особистості, і нема чого нам використовувати чуже добро :). До того ж, насправді, якщо навіть забити на таке творчість, то все одно це досить небезпечний спосіб - ніхто не може дати гарантію, що свежескачанний руткит / бекдор не ловиться черговим чекруткітом. Що ж нам залишається? Правильно. Піти третьої, вторований доріжкою: самим трохи попаритися і видати в результаті те, що прийнято зараз називати private 133t w4r3z.
Далі буде розглянуто всього кілька способів того, як можна більш-менш оригінально забекдоріть систему. Хоча наведена нижче інформація відноситься до юнікс систем, не існує ніяких практичних обмежень намутити те ж саме і в продуктах від контори з великої літери "М".
Знову, незважаючи на те, що це трохи нудно, розглянемо проблему формально. Які дії повинен виконувати хороший бекдор? По-перше, це дії для захисту від адміна в межах системи. По-друге ж - захист від детектування в межах мережі, де розташовується порутанная машина - адже адміни, хоча вони і адміни, але не гребують різними сніффером, сканерами, іншими утилітами, здатними вивести нас на чисту воду.
Локальна захист від адміністратора
Підемо по порядку. Як захиститися від адміна? Для цього треба представляти його логіку. Що адмін робить, коли у нього виникають підозри, а в балках, як це зазвичай буває, порожнеча :)? Ось неповний список найбільш часто вживаних методик:
1. Перевірка на наявність підозрілих процесів в системі.
2. Перевірка на наявність підозрілих з'єднань з хостом.
3. Пошук "лівих" записів в стандартних конфігах, таких, як /etc/inetd.conf, / etc / passwd, rc-файли і т.д.
4. Перевірка дат модифікацій, розміру і чексумми критичних файлів (це і suid'ние файли, демони і т.д.) на випадок того, що ми примудрилися їх пропатчити.
Існує, звичайно, ще купа способів обчислити заразу на машині, але вони або є варіаціями вищеописаних, або використовуються не так часто. Природно, хороший бекдор повинен взагалі не "світитися" при такого роду перевірках або звести цю "засвічення" до мінімуму.
Ховаємося зі списку процесів