バックドアが自動的に開始

Share

|

休憩を攻撃するときには、システムをインストールしていない勝手口と、彼は、あるいは彼女、通常は手動で有効にして裏口プログラムです。 しかし、攻撃の際に、お使いのマシンのログのうち、彼は、あるいは彼女には、もはや直接制御します。 このため、どのような裏口保持して実行して日常的な根拠は、左側の後、悪役ですか？ と仮定する厄介なシステムを再起動し、システム管理者、あるいはさらに悪いことには、マシンがクラッシュします。 を起動するときにボックスをオンにすると、実行中の裏口はありません、これ以上、否定して自分の苛烈な攻撃にアクセスできます。 この救済策を懸念材料となり、通常の狡猾な悪役を変更するマシンを再起動して自動的に裏口を定期的、特に中に、システムの起動プロセスです。 このセクションでは、どのようにいたします話し合う悪人システムを操作することを確認してバックドアが自動的に再起動します。 これらのメソッドのためには、システムの種類に大きく依存するので、私たちの分析windows版とunixのメカニズムを個別に裏口を開始します。

バックドアを設定するウィンドウを起動する

ごったがえすwindowsマシンは、さまざまなプログラムの自動スタートアップ機能します。 場所の名前を、攻撃者がプログラムやスクリプトを実行中のいずれかのさまざまな場所で自動的に起動して、オペレーティングシステムのプログラムをしています。 概して、 windowsマシンを提供する3種類の悪意のあるメカニズムを自動的に起動（あるいはnonmalicious ）コード：一握りのファイルやフォルダを自動スタート、多くのレジストリ設定、およびスケジュールされたタスクします。

起動時のファイルやフォルダを変更する

議論されたファイルの起動を開始しましょうとfolders.the表は以下のとおり説明していくつかの場所では自動的に有効に任意のスクリプトを実行可能ファイルとは、 windowsシステム上の特定のイベントが発生したときなど、システムを起動したり、特定のユーザーのマシンにログインしています。 アタッカーの名前を含む可能性のあるプログラムが裏口のいずれかのファイルやフォルダを取得することを自動的にターゲットシステムで実行されます。

windowsの起動時のファイルやフォルダ

ファイルまたはフォルダの名前	どのように変化することができないファイルまたはフォルダを自動的にアクティブにする裏口
フォルダの自動スタート	裏口の場所を攻撃したりして、これらのフォルダへのリンクが活性化したり、起動時にログインしたときに、ユーザーのシステムにします。 上win95/98/meは、 1つのフォルダにこの情報を保持し、位置をc ： \ windowsの\ [スタート]メニュー\プログラム\起動します。 winnt/2000/xp/2003システムには、フォルダを自動スタートする、通常関連付けられている"すべてのユーザー"のほか、個別のフォルダを自動スタートを個別にユーザーは、次の場所に位置する： winnt - c ：の\ winnt \プロファイル\に[ user_name ] \ [スタート]メニュー\プログラム\スタートアップ win2000 - c ： \文書や設定\に[ user_name ] \ [スタート]メニュー\プログラム\スタートアップ（ windows ntのからのアップグレードした場合）とc ：の\ winnt \プロファイル\に[ user_name ] \ [スタート]メニュー\プログラム\スタートアップ winxp/2003- c ： \文書や設定\に[ user_name ] \ [スタート]メニュー\プログラム\スタートアップ
win.ini	win.ini 、オペレーティングシステムの初期化についての情報が含まれます。 このファイルを変更することができ裏口を開始する2つの方法があります。 第一に、直接プログラムを実行することができ、ファイルの参照を使用して、テキスト"を実行= [裏口] "または"負荷= [裏口] "します。 第二に、いくつかのサフィックスに関連付けることができ（例えば、 "します。ドキュメント"または"します。 html文書" ）をご希望の裏口プログラムを実行するたびにそのようなファイルが実行され、システムのサフィックスます。 このファイルの場所によって異なりますが、これは典型的な位置： win95/98/me- c ： \ windowsの\ win.ini winnt/2000- c ：の\ winnt \ win.ini winxp/2003- c ： \ windowsの\ win.ini
system.ini	このファイルには、システムのハードウェアの設定をします。 windows上3.xおよびwindows 9xを、このファイルをサポートして"シェル= "コマンドで、これを指定し、ユーザーが使用され、システム起動時にシェルを起動します。 シェルは、メインのインターフェイスは、すべてのユーザプログラムを起動したときのマシンを参照してくださいました。 頻繁に変更して攻撃ライン"シェル= explorer.exe "ので、代わりのgui windowsのエクスプローラを起動すると、システムを実行する裏口ながら、システムが起動します。 裏口、その後、電源、ユーザーのシェルが起動し、実際のは、通常explorer.exeます。 より多くの最近のwindows版（ winnt/2000/xp/2003 ）は、オペレーティングシステムを無視して"シェル= "構文system.iniます。 したがって、このメソッドは使用されません。裏口を開始するには、これらの新しいオペレーティングシステムです。 このファイルは通常、次の場所に位置して： win95/98/me- c ： \ windowsの\ system.ini winnt/2000- c ：の\ winnt \ system.ini ウィンドウズxp/2003- c ： \ windowsの\ system.ini
wininit.ini	このファイルが作成されたときのセットアッププログラムの新しいソフトウェアがインストールされ、いくつかのアクションが必要とされるシステムのインストールを完了後に再起動します。 たとえば、新しいハードウェアのドライバをインストールする際は、お客様のプログラムをインストールするかもしれない、システムを再起動します。 システムを再起動すると、エントリwininit.iniは、いくつかのプログラムを実行し、起動プロセス中にいます。 また、このファイルを盗むために使用できるいくつかのよく使用される実行ファイルの名前を割り当てることが裏口とします。 使用するときは、そのファイルは、通常位置： win95/98/me- c ： \ windowsの\ wininit.ini winnt/2000- c ：の\ winnt \ wininit.ini ウィンドウズxp/2003- c ： \ windowsの\ wininit.ini
winstart.bat	古いwindowsシステム（勝つ9xを）に、このファイルには、通常使用されるms - dosのプログラムを開始する古い環境では、 windowsです。 アタッカーが含まれた行があるの構文" @ [裏口] "実行ファイルを実行すると、ユーザーから隠すことです。 存在する場合には、それは通常の場所にはc ： \ winstart.batます。
のautoexec.bat	このファイルには、関連性の高いウィンドウズ95/98システム上でのみです。 それは無視され、ウィンドウme 、 ntの、 2000 、 xp 、および2003が必要です。 下位互換性のため、それをサポートするプログラムを起動するだけで行を含むファイルを参照し、プログラムのような" c ： \ [裏口] "します。 存在する場合には、それは通常の場所にはc ： \ autoexec.batのです。
のconfig.sys	このファイルには、関連性の高いウィンドウズ95/98システム上でのみです。 それは無視され、ウィンドウme 、 ntの、 2000 、 xp 、および2003が必要です。 このファイルをロードする低レベルms - dosベースのドライバ、およびいくつかのwindowsシステムに含まれているではありませんします。 ラインを含めることができ裏口を実行することです。 それが存在する場合、このファイルは通常、ファイルはc ： \ config.sysにします。

レジストリの乱用

ファイルやフォルダを越えて、いくつかのレジストリキーの目的のために虐待することができ、自動的に裏口を活性化します。 レジストリの巨大なデータベースは、住宅の詳細設定や、 windowsオペレーティングシステムのさまざまなプログラムがインストールされボックスをオンにしています。 それぞれのキーを変更することができregedit.exeプログラムを使用して、レジストリエディタのwindows nt/2000/xp/2003マシンに組み込まれました。 実験を計画している場合、これらのキーのいずれか、それは非常に重要なものがあり、お客様のシステムのバックアップを作成する前に、レジストリを微調整します。 いくつかの重要な鍵を誤って変更した場合は、レジストリ、ホース、お使いのマシンを完全にできているので、ブート不能です。 ますので、あらかじめご注意してください。 重要なレジストリキーを自動的に起動プログラムは次のとおり：

レジストリキーを再起動してログインまたはプログラムを開始

レジストリキー	鍵の目的は、
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runservicesonce	いくつかのプログラムがインストールを実行するには、ウィンドウズマシンを背景に、サービスとしてのように、 iis webサーバやファイルとプリンタの共有サービスです。 このレジストリキーを識別し始めた時に、次のサービスを再起動しなければならないと、次回の再起動のみです。 その後のすべての起動時には、サービスの開始されません
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runservices	このレジストリキーのリストが含まれるサービスを開始し、すべてのシステムを起動します。
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runonce	このレジストリキーを識別するプログラム（サービスません）を始めなければならないと、次回の再起動時に、次回の再起動のみです。 その後のすべての起動時には、プログラムを実行されませんします。
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \実行	システム起動中に、これらのプログラムが実行されます。
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runonceex	でのみご利用にwindows 98と私には、このレジストリキーを示しスクリプトとプログラムが起動時に実行されることが、別のプロセスを開始してはいけませんします。 効率性を向上させるため、これらのプログラムを実行していません別のプロセスとしてではなく、代わりに呼び出され、別のスレッド内の他のさまざまなプロセスを起動します。
hklm \ソフトウェア\マイクロソフト\ windows ntの\ currentversion \ winlogonによる\ userinit	このキーの名前が含まれたときに実行するプログラムを任意のユーザーに入ると、システムのログに記録します。 それを示し、ユーザーの通常のgui
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ shellserviceobjectdelayload	このレジストリキーを有効にした後windows guiを起動するとプログラムのように、システムトレイには、右下のwindowsとその内容です。
hklm \ソフトウェア\ポリシー\マイクロソフト\のwindows \システム\スクリプト	このキーを識別することがさまざまなスクリプトを起動する際に実行されるウィンドウズます。
hklm \ソフトウェア\マイクロソフト\のwindows \ currentversion \ポリシー\エクスプローラ\を実行	このレジストリキーで識別されているプログラムが始まったときに、ユーザーのgui （ explorer.exe ）が有効になります。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runservicesonce	このレジストリキーを識別しなければならないサービスを開始したユーザーは、次回のログは、 1回だけです。 すべてのログオンその後、このプログラムはありません実行されます。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runservices	これらのサービスは開始するたびに、ユーザーのシステムに入ると、ログします。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runonce	これらのプログラムを活性化したときにユーザーに一度に入ると、システムログします。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \実行	これらのプログラムを実行するたびに、ユーザーのマシンに入ると、ログに記録します。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runonceex	これらのプログラムを起動せずに別のシステムプロセスが実行されます。
hkcu \ソフトウェア\マイクロソフト\のwindows \ currentversion \ポリシー\エクスプローラ\を実行	これらのプログラムを実行するたびに、ユーザーのシステムに入ると、ログに記録します。
hkcu \ソフトウェア\マイクロソフト\ windows ntの\ currentversion \のwindows \を実行	これらのプログラムを実行するたびに、ユーザーのシステムに入ると、ログに記録します。
hkcu \ソフトウェア\マイクロソフト\ windows ntの\ currentversion \のwindows \荷重	これらのプログラムを実行するたびに、ユーザーのシステムに入ると、ログに記録します。
hkcu \ソフトウェア\ポリシー\マイクロソフト\のwindows \システム\スクリプト	これらのスクリプトが活性化されるたびに、ユーザーのマシンに入ると、ログに記録します。
hkcr \ exefiles \シェル\オープン\コマンド	このキーを示したプログラムを実行されることは、いつでも別のexeファイルを実行すると、非常に頻繁に起こることは、 windowsマシン上で、かどうかを確認！

ふー！ それは長い、醜いのリストが、それは重要であると認識することが、非常に多くの場所を攻撃者がいくつかの名前を隠しておくひどく邪悪な裏口を取得することが始まりました。 このリストに疲労困憊するかもしれませんが、すべてを網羅することはできませました。 現在および将来のバージョンのwindowsされる可能性がさらに多くのレジストリ設定を自動的に起動ソフトウェアは、複雑なシステムのwindowsの成長とその後の各パッチ、リリース、およびアプリケーションをインストールします。

注意して、これらのいくつかのレジストリ設定で始まる手紙hklmや他始まるhkcuます。 どちらの場合も、蜂の巣のh略で、リファレンスをするの塊は、 windowsのレジストリします。 hklm略で蜂の巣キーをローカルマシン、およびシステム全体の設定を示します。 hkcu略で蜂の巣キーを現在のユーザー、およびその人を識別し、現在の設定をwindowsマシンにログインしています。 ほとんどの場合、プログラムやサービスを起動するためには、 hklmの設定は、最初に実行され、次いでhkcuアイテムです。 また、 hkcr 、蜂の巣の略である鍵のルートクラスは、さまざまなプログラムを識別してオープンされたウィンドウの下では、特定のイベントです。 問題を悪化させることは、このリストだけではない方法でのコンポーネントの起動を開始するプログラムが自動的にウィンドウ内にします。 まだを取らなければならタスクスケジューラを見ています。

害するのタスクスケジューラ

人気の最終的な方法を自動的に開始する裏口windows上nt/2000/xp/2003マシンのスケジュール設定では、タスクを実行するには、システムです。 タスクスケジューラサービスを使用して、攻撃者にシステムを伝えることができ、特定のプログラムを実行し、特定の時間帯は、特定の日付、または特定のイベントが発生したときなど、システム起動またはユーザーがログオンします。

新しいタスクをスケジュールすることができたり、お使いのシステムは既に予定されているスケジュールされたタスクのguiを使用して、システムのコントロールパネルを開きます。 また、利用することができ、コマンドラインツールwindows nt上、 2000 、およびxpまたはschtasksコマンドでwindows xpと2003年のどちらにも表示したり、タスクのスケジュールです。 guiとコマンドラインの両方を示す高レベルのビューは、システム上のプログラムを実行する予定です。 atコマンドで提供され、詳細は有用です。 そのような情報を得るのうち、 guiのは、あなたも認めざるをクリックして個別のタスクをスケジュールされたタスクのフォルダに表示されます。 guiの1つのいいものについては、それがすべて含まれて表示されているタスクによって呼び出されるタスクのスケジューラなど、時間をベースに、システム起動時に行動します。 注意してタスクを実行するにはid番号2が含まれてコマンドラインを実行するbackdoor.exeます。 うわあ、どのようなことをやるかもしれないんだろう！

防衛：検出ウィンドウを開始裏口テクニック

このため、攻撃者が大勢の方法を設定するには、長い裏口を実行した後でwindowsの悪い男が残っている。 このような攻撃を防ぐため、悪人を維持する必要があり、お客様のシステムをオフにして第1位です。 少し長いが予防の方法でこのタイプの攻撃を阻止します。

しかし、最大の予防の手順にもかかわらず、いくつかまだ攻撃する方法を見つけるかもしれない。このため、予防を超え、攻撃を検出するにはどうすれば、お客様のシステムの再設定を自動的に開始する裏口か？ まあ、手動でチェックすることができたびにすべてのファイルとフォルダのレジストリキーに表示され、テーブルの上にスケジュールされたタスクを表示すると、もし何かうさんくさい予定されました。 残念なことに、これらのすべての可能性を手動でチェックが必要にたくさんの時間を費やしてい悔しい冷たい、孤独な孤立します。

うれしそうに、そこのようなすてきな自由と呼ばれるツールが自動起動して救出して来ました。 無料で利用できるから、立派な人たちでsysinternals www.sysinternals.comで、このプログラムを自動的にリストのすべてのタスクを自動的に起動してウィンドウズするnt/2000/xpボックスで、起動を含むフォルダ、ファイル、レジストリ設定、およびスケジュールされたタスクします。 ツールのみが表示されませんが自動起動して、さまざまなスタートアップレジストリキー、フォルダ、およびタスクを分散システム全体が、それにも示してきた値に設定されています。 正確な名前を見ることができ、各プログラム、サービス、または起動時にスクリプトを実行するための各メソッドを取得します。 それはハンディを持つリストには、両方のセキュリティやトラブルシューティングのためにします。 を使って自動起動したら、を掘ることはできませんが大勢のレジストリキーを介してフォルダを参照して、システム起動中のプログラムが実行されます。 すべての情報を収集するの良いguiで、これをサポートしても自動的にジャンプを各フォルダまたはレジストリキーの値を簡単に編集することができます。

私は確かに大ファン自動起動したら、しかし、それには注目に値するの制限を実行したときに自動的にさまざまなバックドアを見つけるために使用します。 正確にはどのような宣伝が自動起動して：これらのプログラムやスクリプトを示して活性化したときには、システムを起動すると、特定のユーザーでログインします。 しかし、に焦点を当てて起動とログオンのイベントのみ、表示されませんが自動起動し任意のタスクを実行することが予定さに基づいて特定の時間帯の日です。 スケジュールを攻撃する可能性を再起動していない勝手口毎朝午後3時、および自動起動して表示されませんので、それは時間帯に基づいています。 このため、自動起動を見つけるに頼っている場合は自動的に起動、バックドアには、まだまだ思い出してチェックしてスケジュールされたタスクは、スケジュールされたタスクを調べコントロールパネルでは、 atコマンドを実行して、または使用してschtasksコマンドを使います。

また、活用することができ、ファイルの整合性のチェックプログラムを検索するための任意の手直ししてwindowsマシンの重要なシステムファイルやレジストリキーがあります。 これらのプログラムを含むデータベースの既知の良好な指紋の重要なシステムファイルやレジストリ値を含め、ファイルとディレクトリに関連付けられたユーザーのシステムが起動すると初期化します。 ときに変更が検出されると、このツールでは警告を発することができて、誰が行った変更図：標準的なシステムのメンテナンスを行う、システム管理者または邪悪な攻撃を曲がって世界征服します。 初期化後に、データベースを作成するツールを使用しての指紋、スケジュールすることができ、ファイルの整合性のチェックプログラムを定期的に実行するなど、毎日、または1時間ごとにさえします。 それを実行するときに、このツールでは、ファイルを確認するために手直しを見るように言っています。 それを見つけたときの1つを変更するスタートアップ初期化ファイルまたはユーザーがこのセクションに記載さ、そして和解しなければ、システム管理者の変更を含むすべての最近の活動の合法的なシステムです。 ファイルの整合性チェッカーのような人間の行為の警備員、警備お使いのシステムの不正な変更を行います。

合法的に修正プログラムをインストールした場合は、管理者は、改造、起動プロセス、または変化して、ユーザーの環境では、ツールの警告は単に人騒がせます。 そうしないと、アタッカーの中をうろつくかもしれませんして、システムの設定を変更する裏口を開始します。 この和解のプロセスは、かすかな心ではありませんします。 かなりの努力を必要とすることは、システム管理者の団体が、より簡単までのすべての整合性をチェックして1つのファイルやディレクトリを手にします。 多数のwindowsファイルの整合性のチェックプログラムは利用できない場合、 tripwireのバージョンを含め、商業、 www.tripwire.comます。 残念なことに、無料お試し版をサポートしていないウィンドウズのtripwireのです。 他にもいくつかのファイルの整合性のチェックツールを使用windows用を含むgfi languardシステムの整合性を監視するとionxデータセンティネルます。

unixのバックドアを開始

確かに、 windowsシステムを提供する多くのプログラムを実行する方法を自動的に始まりますが、どちらかunixはありません前かがみになっています。 実際のところ、 unix系のシステムは非常に勝手気ままに自分の好みのプログラムを起動するスクリプトとします。 windowsのと同様に、 1つのたびに、これらのテクニックを開始する可能性がある虐待を受けていない勝手口ます。 unix上、いくつかのカテゴリーに陥るのテクニックなど、システムの初期化スクリプトを追加または変更して、設定を変更して、インターネットデーモン（ inetdの）は、ユーザーの環境を変えること、そして仕事のスケジュール設定します。

プロセスの設定を変更してユーバー： inittabの

unixシステムが起動したときには、さまざまな初期化スクリプトを実行するとプログラムします。 最初のプロセスを実行する場合は、 unixマシンのinitデーモンは、他のすべてのプロセスをアクティブにシステム起動中に必要に応じています。 ファイル/ etc / inittabの話のinitスクリプトが含まれなければなら他にどのようなプロセスを開始します。 アタッカーの行を追加する可能性inittabのファイルを起動すると、攻撃者自身の裏口の一環として起動シーケンスします。 inittabのエントリが含まれ、ファイルのフォーマット[ idを] ： [ rstate ] ： [アクション] ： [プロセス]は、次のように定義：

• idには、このエントリに割り当てられた固有の番号は、 4つの文字をしなければならないだけに使用されるその他の入力してください。

• 実行してrstateは、エントリレベルのことがトリガーします。 unixシステムを起動したときに、実行することができ示すレベルを識別する際にどのようなレベルのサービスに必要なシステムが起動するとします。 レベルを設定することができ、実行を指定して起動シングルユーザーモードでは、ごく少数が必要なサービス、またはマルチユーザーモードを変更するには、より多くのサービスが必要です。

• initプロセスはどのようなアクションを指定しなければならないとしている特定のプログラムなどを再起動するプロセスが死亡していた場合、 1回のプロセスを実行する、またはそれを実行するたびに、システムが起動します。 再起動するプロセスがクラッシュしたときには本当に便利な行動は、裏口プログラムです。

• その過程のフィールドはどこに物事が興味深いものでした。 あることを示し、特定のシェルスクリプトを実行されなければならないのinitしています。 を使用している場合、攻撃者inittabの裏口を開始するには、フィールドでは、この過程を参照して裏口プログラム自体の名前を使用したり、スクリプトを開始する裏口ます。

他のシステムやサービスの初期化スクリプトの変更

ほとんどのunixシステムでは、このファイルは、通常inittabの指示を実行するのinitシリーズのサービスの初期化スクリプトを実行してさまざまなサービスを開始するボックスをオンにします。 inittabの代わりに変えること自体、攻撃者を変更する可能性もある、これらのさまざまなサービスの初期化スクリプトを、これといったサービスを開始するのhttpd （ webサーバ）のsendmail （人気のメールサーバー） 、およびにsshd （セキュアシェルデーモンリモートアクセスを確保するために使用される）します。 風味に応じて、特定のunixは、これらのサービスに保存され、初期化スクリプトはしばしば/ etc / rc.dにまたは/ etc / init.dのディレクトリにある。 で、典型的なunixシステムでは、 20名以上のようなスクリプトは、各10 〜 50行である、肥沃な土地を提供し、植物の裏口ます。 裏口追加するだけで、攻撃者がこれらのスクリプトを1つのディレクトリ、または変更してもすでに既存のスクリプトをキックオフさせる裏口ます。 たとえば、私が新たに追加するサービスと呼ばれるhttpb （注の末尾に" b "のための裏口、のように見える"とのhttpd " ） 、あるいは変更して既に存在して本物のhttpdを開始するスクリプトを実行するように私の最初の裏口、それから、ウェブサーバーが起動します。

としての最終的な攻撃をして起動スクリプトは、攻撃者だけでも、植物の裏口に設定ファイルが、既存のサービスの1つとして初期化スクリプトを実行することを開始している。 たとえば、もしあなたのシステムでは、これまでのポイントツーポイントプロトコル（のppp ）へのダイヤルアップ接続のモデム、マシンにインストールされ、設定スクリプトを実行しようと呼ばれるの/ etc /のppp / ipをup.localます。 ほとんどの場合、このスクリプトは必要ありませんので、通常の空白にします。 しかし、私は私の場所の名前を裏口で、このファイル、およびたびにダイヤルアップモデムを使用して、私の意地の悪い裏口が実行されます。

inetdの後に行くの設定

これらのさまざまな起動スクリプトを超え、攻撃の設定を変更するにも頻繁に広く使われて1つの特定のプロセスをサポートするネットワークサービス、すなわち、インターネットデーモン（ inetdのは、発音します。 "ネットのi -ディー"を参照） 。 unixのボックスをオンにすると、ネットワークのトラフィックinetdのプロセスを待つために、さまざまなサービスなどのftp 、 telnetのなどがあります。 inetdのトラフィックを受信するときに、これらのサービスの1つを意図し、それを実行に関連するサーバーのトラフィックを処理する場合は、設定を実行するサービスです。 攻撃を受ける可能性の行を変更または追加するinetdの設定ファイルは、保存され/ etc / inetd.confファイルは、ファイルまたは/ etc / xinetd.dディレクトリに応じて、特定のunix風味ます。 inetdの設定を変更するには、攻撃者がinetdの教えを実行する際に特定の裏口は、特定のトラフィックが到着tcpまたはudpポートします。 inetdの裏口の変更を開始するには、世界で最も共通の技術を使用していない勝手口今日unixシステムに反対します。 社内階層類推、 inetdのは、ディレクターが、非常に重要なものの1つです。 この買収ディレクター、攻撃者のリモートアクセスを与える可能性の法人のため、 inetdのを聞いて、ネットワーク上の接続できません。

ユーザーの起動スクリプトの調整

ときに、ユーザーのログをunixシステムまたは特定のコマンドを実行すると、システムのさまざまなスクリプトを有効にすると、ユーザーの環境を初期化します。 これらのスクリプトましょう彼らのコンピューティング環境をカスタマイズするユーザーが特定のコマンドを実行中にログインしてください。 ユーザーが最もよくスタートアップファイルに記述され表をご覧ください。 1つ追加する可能性を、攻撃者の名前を含む行を裏口のいずれかのスクリプトを有効にして裏口ときにスクリプトが実行されます。 問題を悪化させることにも、これらのスクリプトが点在するユーザーのホームディレクトリと同様、ホームディレクトリには、スーパーユーザーのアカウントには、システム、ルートにあります。 はありませんので、 1つの場所に保存され、管理者は、個人ユーザーを追跡するのに苦労する'これらのファイルをカスタマイズします。 これらのスクリプトの多くは、 10 〜 50行である、再び多くのオプションを提供し、攻撃者がこっそり中に裏口の活性化します。

共通のスクリプトに関連付けられたユーザーのログインやプログラムの活性化

ユーザースクリプト名	プログラムに関連してアクティブスクリプトや典型的な使い方
します。ログイン	cshおよびtcshシェル、このスクリプトを実行するときに、ユーザーのログ。
します。 cshrc	cshおよびtcshシェルは、このスクリプトを実行したときには、新しいコマンドシェルを開始しました。
します。 kshrc	kshのシェルスクリプトを実行するときに、この新しいコマンドシェルが開始します。
します。 bashrcに	bashシェルスクリプトを実行するときに、この新しいコマンドシェルが開始します。
します。 bash_profileに	bashシェルスクリプトを有効にして、このときに、ユーザーのログ。
/ etc / profileを	任意のユーザーにログインしたときに使用しているシステムは、 shまたはbashのシェル、このスクリプトは有効になります。
します。プロフィール	後に/ etc / profileが実行中には、 shやbashのユーザのログインシェル、個別のエンドユーザーのです。プロファイルのファイルが有効になります。
します。ログアウト	cshおよびtcshシェル、このスクリプトを実行するときにユーザーがログアウトします。
します。 xinitrcの	startxコマンドを入力して呼び出すと、 xウィンドウシステム環境の情報を保存し、このファイル（はredhat linuxシステムでは、この情報にも保存されます。 xclientsファイル）します。
します。 xsession	xdmのプログラムを使用して、このファイルを設定するxウィンドウの最初のセッションです。

悪でcronジョブのスケジュール設定

最終的な人気を活性化するための1つの方法は裏口unix上のスケジュールで仕事を実行して裏口cronデーモンを使用しています。 むしろ作品のように、 windowsのcronのタスクスケジューラます。 特定の定義済みの回、 cronのスクリプトを実行し、バックドアを含めることができます。 cronはcrontabの設定ファイルを使用し、これが見つかった/ etc / crontabにと/ etc / cron.dため、システム管理者の仕事です。 個人ユーザーを作成することも予定の仕事では/ etc /スプール/ cronのディレクトリにあります。 1つのエントリを追加し、これらのファイルのいずれかで、攻撃者が裏口を開始するスケジュール設定するには、特定の時間、またはシステムの初期化中です。 このため、 cronを使って、攻撃者にシステムを設定することができ裏口1時間ごとに起動して、既に実行されていない場合です。 こうすることで、これまでのプロセスを取得すればよい裏口に殺され、システム管理者は、マシンを再起動し、システムクラッシュや、私を待つしかない。最大1時間前、マシンを再起動していてくれました。

防衛： unixの裏口を検出する技術を開始

このため、追加して、さまざまな分野のすべての使用を開始することができ、攻撃者裏口、あなたかもしれませんが数百個のファイルとディレクトリを見て、数千行の構成が困難なスクリプトを読んでいます。 面倒くさい！ 明らかに、このネズミの巣を検索するためのバックドアの典型的な人間ではありません何かを定期的にできませんします。 このため、自動化ツールを使用する必要があり、変更を行ったときにアラートを、さまざまな設定ファイルやスクリプトのこのセクションに記載されます。

人気の高いいくつかのファイルの整合性のチェックプログラムは、無料で利用可能な商業ベースとして動作するように、お使いのデジタル使用人で、この目標を達成します。 ウィンドウズのような彼らの対応を話し合ったことこれに先立って、これらのツールを作成するデータベースの暗号化ハッシュのようなふりをして、お客様のデジタル指紋重要なシステムファイルやシステムの状態を定期的にチェックして反対しています。

膨大な数のファイルの整合性のチェックをunixツールを使用します。 これらのツールは、祖父の由緒tripwireのは、商業との両方で利用可能な基盤を無料でのunix www.tripwire.com www.tripwire.orgと、それぞれします。 また、無料で、オープンソースのツール補佐官（ www.cs.tut.fi/ 〜突き棒/ aide.html ）と似たようなオシリス（ http://osiris.shmoo.com/ ）を実行するかを確認します。