网络后门面面观从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的：即使管理员改变密码，仍然能再次侵入，并且使再次侵入被发现的可能性减至最低。大多数后门是设法躲过日志，即使入侵者正在使用系统也无法显示他己在线。有时如果入侵者认为管理员可能会检测到已经安装的后门，他们使会以系统的脆弱性作为唯一后后门，反复攻破机器。我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。1、Rhosts++后门在连网的Unix机器中，像Rsh和Rlogin这样的服务是基于rhosts的，使用简单的认证方法，用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入"++"，就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时，入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh，团为它通常缺少日志能力。许多管理员经常检查“++”．所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名，从而不易被发现。2、校验及时间戳后门早期，许多入侵者用自己的“特洛伊木马”程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否己被改变，如Unix的sum程序。为此入侵者发展了使特洛伊木马文件和原文件时间戳同步的新技术。它是这样实现的：先将系统时钟拨回到原文件时间，然后调整特洛伊木文件的时间为系统时间。一旦二进制特洛伊木马文件与原来的精确同步，就可以把系统时间设回当前时间。sum程序基于crc校验，很容易被骗过。3.Login后门unix里，Login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmP前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用”strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用MD5校验和检测这种后门。5、服务后门儿乎所有网络服务曾被入侵者做过后门。有的只是连接到某个TCP端口shell，通过后门口令就能获取访问。管理贝应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。6.Cronjob后门Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序，使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中经常运行的合法程序，同时置入后门。7.库后门几乎所有的Unix系统都使用共享库.一些入侵者在像cryPt.c和_crypt.c这些函数里做了后门。像Login这样的程序调用了crypt()，当使用后门口令对产生一个shell因此,即使管理员用MD5检查Login程序，仍然能产生一个后门函数。而且许多管理员并不会检查库是否被做了后门。另外入侵者对open()和文件访问函数做后门。后门函数读原文件但执行特洛伊木马后门程序。所以当MD5读这些文件时，校验和一切正常。但内系统运行时将执行持洛伊木马版本。即使特洛伊木马库本身也可躲过MD5校验。对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序，然后运行。静态连接程序不会使用特洛伊木马共享库。8.内核后门内核是Unix工作的核心。使库躲过MD5校验的方法同样适用于内核级别，甚至静态连接都不能识别。―个后门作的很好的内核是最难被管理员查找的，所幸的是内核的后门程序还不是随手可得。9.文件系统后门入侵者需要在服务器上存储他们的掠夺品或数据，并不被管理员发现。入侵者的文章常是包括exploit脚本工具、后门集、sniffer日志、email的备份、源代码等等。有时为了防止管理员发现这么大的文件，入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件。在很低的级别，入侵者做这样的漏洞：以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说，很难发现这些“坏扇区“里的文件系统，而它又确实存在。10.Boot块后门在Pc世界里，许多病毒藏匿在根区，而杀病毒软件就是检查根区是否被改变unix下多数管理员没有检查根区的软件，所以―些入侵者将一些后门留在根区。11.隐匿进程后门入侵者通常想隐匿他们运行的程序。这样的程序一般是口令破解程序和监听程序(sniffer)。有许多