Comenzando Backdoors Automáticamente

Share

|

Cuando un atacante se rompe en un sistema e instala un backdoor, él o ella activa generalmente manualmente el programa backdoor. Sin embargo, cuando los registros del atacante fuera de su máquina, él o ella son no más largos en el control directo del sistema. ¿Así pues, qué guarda que el funcionamiento backdoor sobre una base cotidiana después del mal individuo se ha ido? Suponga los reboots pesky de un administrador de sistema el el sistema, o peor todavía, la máquina se estrella. Cuando la caja empieza para arriba otra vez, el backdoor no funcionará más, negando al atacante el suyo o ella duro-lucho' el acceso. Para remediar esta preocupación, el bandido mañoso altera generalmente la máquina para recomenzar el backdoor automáticamente sobre una base periódica, especialmente durante el proceso del cargador del sistema. En esta sección, discutiremos cómo los malos individuos manipulan sistemas para cerciorarse de sus backdoors automáticamente recomenzar. Porque estos métodos dependen tan pesadamente del tipo del sistema, analizaremos los mecanismos que comienzan backdoor de Windows y de UNIX por separado.

Creación Windows Backdoors a comenzar

Las máquinas de Windows están vertiendo con diversas capacidades automáticas del start-up del programa. Un atacante podía poner el nombre de un programa o de una escritura ejecutable en de una variedad de localizaciones para hacer que el sistema operativo automáticamente comience ese programa. Generalmente hablando, las máquinas de Windows ofrecen tres diversos tipos de mecanismos para el código malévolo (o aún nonmalicious) automáticamente que comienza: un puñado de archivos y de carpetas del autoempezado, una plétora de ajustes del registro, y tareas programar.

Alterar archivos y carpetas de lanzamiento

Comencemos por los archivos de lanzamiento que discuten y la tabla de folders.The abajo describe varias localizaciones que activen automáticamente executables y las escrituras arbitrarios en un sistema de Windows cuando ocurren los acontecimientos específicos, por ejemplo cargador del sistema o un usuario dado que registra en la máquina. Un atacante podía incluir el nombre de un programa backdoor en cualesquiera de estos archivos o carpetas para conseguirlo para funcionar automáticamente en el sistema de blanco.

Archivos y carpetas de lanzamiento de Windows

Nombre del archivo o de la carpeta	Cómo el archivo o la carpeta se puede alterar para activar automáticamente un backdoor
Carpetas Del Autoempezado	El atacante pone el backdoor o un acoplamiento a él en estas carpetas, que se activan en el arranque o mientras que un usuario entra al sistema. En Win95/98/Me, una sola carpeta lleva a cabo esta información, encontrada en C:\Windows\Start Menu\Programs\StartUp. Los sistemas WinNT/2000/XP/2003 incluyen una carpeta del autoempezado, asociada generalmente a "todos los usuarios," así como las carpetas individuales del autoempezado para los usuarios individuales, situadas en las localizaciones siguientes: WinNT— C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp Win2000— C:\Documents y Settings\[user_name]\Start Menu\Programs\StartUp y (si está aumentado de Windows NT) y C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp WinXP/2003— C:\Documents y Settings\[user_name]\Start Menu\Programs\Startup
Win.ini	Win.ini contiene la información sobre la incialización del sistema operativo. Este archivo se puede alterar para comenzar un backdoor de dos maneras. Primero, podría ejecutar directamente un programa mencionado en el archivo, usando el texto "run=[backdoor ]" o "load=[backdoor ]". En segundo lugar, podría asociar un cierto sufijo (e.g., "doc" o "htm") a un programa backdoor que funcionaría cada vez un archivo con tal sufijo es ejecutado por el sistema. Esta localización del archivo varía, pero se localiza típicamente en: Win95/98/Me— C:\Windows\win.ini WinNT/2000— C:\Winnt\win.ini WinXP/2003— C:\Windows\win.ini
System.ini	Este archivo contiene los ajustes para el hardware del sistema. En Windows 3.X y Windows 9X, este archivo apoyó la "cáscara =" el comando, que se utiliza para especificar una cáscara del usuario para lanzar en el tiempo del cargador del sistema. La cáscara será el programa de interfaz principal que todos los usuarios ven cuando patean la máquina. Los atacantes modifican a menudo la línea "shell=explorer.exe" de modo que, en vez de comenzar encima del GUI del explorador de Windows, el sistema ejecute un backdoor mientras que los cargadores del sistema. El backdoor entonces, alternadamente, comienza la cáscara del usuario real, que es generalmente explorer.exe. En versiones más recientes de Windows (WinNT/2000/XP/2003), el sistema operativo no hace caso de la "cáscara =" sintaxis en System.ini. Por lo tanto, este método no se utiliza para comenzar un backdoor en estos más nuevos sistemas operativos. Este archivo está situado generalmente en los lugares siguientes: Win95/98/Me— C:\Windows\System.ini WinNT/2000— C:\Winnt\System.ini Windows XP/2003— C:\Windows\System.ini
Wininit.ini	Este archivo es creado por programas de disposición cuando el nuevo software está instalado y una cierta acción es requerida por el sistema para terminar la instalación después del reboot. Por ejemplo, cuando usted instala un conductor nuevo del hardware, su instale el programa pudo hacer que usted reanuda el sistema. Pues el sistema está reanudando, una entrada en Wininit.ini funcionará un cierto programa durante el proceso del cargador. Alternativomente, este archivo se puede utilizar para robar el nombre de algún ejecutable comúnmente usado y para asignarlo a un backdoor. Cuando se utiliza, el archivo se localiza generalmente en: Win95/98/Me— C:\Windows\wininit.ini WinNT/2000— C:\Winnt\wininit.ini Windows XP/2003— C:\Windows\Wininit.ini
Winstart.bat	En más viejos sistemas de Windows (triunfo 9X), este archivo se utiliza normalmente para comenzar viejos programas del MS-DOS en un ambiente de Windows. Un atacante podía incluir una línea con el sintaxis "@[backdoor ]" para funcionar un ejecutable y para ocultarlo del usuario. Si está presente, será establecido típicamente en C:\Winstart.bat.
Autoexec.bat	Este archivo es relevante solamente en Windows 95/98 sistema. Se no hace caso en Windows yo, NT, 2000, XP, y 2003. Para la compatibilidad hacia atrás, apoya programas que lanzan por simplemente incluyendo una línea que refiera al archivo del programa, tal como "C:\[backdoor ]". Si está presente, será establecido típicamente en C:\Autoexec.bat.
Config.sys	Este archivo es relevante solamente en Windows 95/98 sistema. Se no hace caso en Windows yo, NT, 2000, XP, y 2003. Este archivo carga conductores Ms-DOS-BASADOS bajos, y no es incluido en algunos sistemas de Windows. Podría incluir una línea para ejecutar un backdoor. Si está presente, este archivo está situado generalmente en C:\Config.sys.

Abusos Del Registro

Más allá de archivos y de carpetas, varias llaves del registro pueden ser abusadas con el fin automáticamente de activar un backdoor. El registro es una base de datos gigantesca que contiene la configuración detallada del sistema operativo de Windows y los varios programas que están instalados en la caja. Cada uno de las llaves se puede alterar usando el programa de Regedit.exe, un redactor del registro construido en las máquinas de Windows NT/2000/XP/2003. Si usted planea experimentar con cualesquiera de estas llaves, es extremadamente importante que usted hace una reserva de su sistema antes de pellizcar el registro. Si usted altera accidentalmente una cierta llave crítica en su registro, usted podría regar totalmente su máquina, haciéndolo unbootable. Así pues, tenga por favor cuidado. Las llaves críticas del registro para los programas automáticamente que comienzan se demuestran abajo:

Llaves del registro que comienzan programas sobre la conexión o los reanudan

Llave Del Registro	Propósito de la llave
\CurrentVersion\RunServicesOnce de HKLM\SOFTWARE\Microsoft\Windows	Algunos programas están instalados al funcionamiento en el fondo en una máquina de Windows como servicio, tal como el servidor del Web de IIS o el archivo y la impresión que comparte servicios. Esta llave del registro identifica qué servicios se deben comenzar durante el reboot siguiente y el reboot siguiente solamente. Para todos los cargadores subsecuentes, los servicios no serán comenzados
\CurrentVersion\RunServices de HKLM\SOFTWARE\Microsoft\Windows	Esta llave del registro contiene una lista de los servicios que se lanzarán en cada cargador del sistema.
\CurrentVersion\RunOnce de HKLM\SOFTWARE\Microsoft\Windows	Esta llave del registro identifica que programa (no los servicios) se debe comenzar durante el reboot siguiente y el reboot siguiente solamente. Para todos los cargadores subsecuentes, los programas no serán ejecutados.
\CurrentVersion\Run de HKLM\SOFTWARE\Microsoft\Windows	Estos programas se ejecutan durante cargador del sistema.
\CurrentVersion\RunOnceEx de HKLM\SOFTWARE\Microsoft\Windows	Solamente disponible en Windows 98 y mí, esta llave del registro indica las escrituras y los programas que deben ser funcionados en el tiempo del cargador, pero no se debe comenzar como procesos separados. Para mejorar eficacia, estos programas no se funcionan como procesos separados, sino en lugar de otro se invocan como hilos de rosca separados dentro de procesos otros del cargador.
\CurrentVersion\Winlogon\Userinit del NT de HKLM\SOFTWARE\Microsoft\Windows	Esta llave contiene los nombres de los programas que se ejecutarán cuando cualquier registro del usuario sobre el sistema. Indica típicamente el GUI del usuario
\CurrentVersion\ShellServiceObjectDelayLoad de HKLM\SOFTWARE\Microsoft\Windows	Esta llave del registro activa programas después de que el GUI de Windows empiece para arriba, por ejemplo la bandeja del sistema en la esquina derecha inferior de Windows y de su contenido.
\Windows\System\Scripts de HKLM\SOFTWARE\Policies\Microsoft	Esta llave identifica las varias escrituras que serán ejecutadas cuando Windows patea para arriba.
\CurrentVersion\Policies\Explorer\Run de HKLM\SOFTWARE\Microsoft\Windows	Los programas identificados por esta llave del registro se comienzan cuando se activa el GUI del usuario (explorer.exe).
\CurrentVersion\RunServicesOnce de HKCU\SOFTWARE\Microsoft\Windows	Esta llave del registro identifica qué servicios se deben comenzar la próxima vez un usuario entran, una vez solamente. Para todas las conexiones subsecuentes, los programas no serán ejecutados.
\CurrentVersion\RunServices de HKCU\SOFTWARE\Microsoft\Windows	Estos servicios son cada vez comenzados registros de un usuario sobre el sistema.
\CurrentVersion\RunOnce de HKCU\SOFTWARE\Microsoft\Windows	Estos programas se activan una vez cuando los registros de un usuario sobre el sistema.
\CurrentVersion\Run de HKCU\SOFTWARE\Microsoft\Windows	Estos programas son cada vez funcionados registros de un usuario sobre la máquina.
\CurrentVersion\RunOnceEx de HKCU\SOFTWARE\Microsoft\Windows	Estos programas se ejecutan sin comenzar otro proceso del sistema.
\CurrentVersion\Policies\Explorer\Run de HKCU\SOFTWARE\Microsoft\Windows	Estos programas son cada vez funcionados registros de un usuario sobre el sistema.
\CurrentVersion\Windows\Run del NT de HKCU\SOFTWARE\Microsoft\Windows	Estos programas son cada vez funcionados registros de un usuario sobre el sistema.
\CurrentVersion\Windows\Load del NT de HKCU\SOFTWARE\Microsoft\Windows	Estos programas son cada vez funcionados registros de un usuario sobre el sistema.
\Windows\System\Scripts de HKCU\SOFTWARE\Policies\Microsoft	Estas escrituras son cada vez activados registros de un usuario sobre la máquina.
HKCR\Exefiles\Shell\Open\Command	¡Esta llave indica que los programas que serán funcionados en caulquier momento otro archivo de EXE están ejecutados, una ocurrencia muy frecuente en una máquina de Windows, para ser seguros!

¡Whew! Eso es una lista larga, fea, pero es importante reconocer que hay una porción tremenda de lugares que un atacante podría atesorar lejos el nombre de algún backdoor terrible malvado para conseguirlo comenzó. Aunque esta lista pudo agotar, no es exhaustiva. Las versiones actuales y futuras de la voluntad de Windows tienen probablemente aún más ajustes del registro para automáticamente comenzar software, pues la complejidad de Windows crece con cada remiendo, lanzamiento, y uso subsecuentes del sistema instalado.

Observe que algunos de estos ajustes del registro comienzan con las letras HKLM y otros comienzan con HKCU. En ambos casos, el H está parado para la colmena, una referencia a un pedazo del registro de Windows. HKLM está parado para la máquina local de la llave de la colmena, e indica systemwide ajustes. HKCU está parado para el usuario actual de la llave de la colmena, e identifica los ajustes para la persona registrada actualmente en la máquina de Windows. La mayoría de la época, para comenzar encima de programas y de servicios, los ajustes de HKLM es ejecutada primero, seguido por los artículos de HKCU. También, HKCR, que está parada para las clases de la llave de la colmena arraigan, identifican los varios programas que son abiertos por Windows bajo acontecimientos específicos. Haciendo materias peores, esta lista de componentes de lanzamiento no es la única manera de comenzar programas automáticamente dentro de Windows. Todavía tenemos que hechar una ojeada el planificador de tarea.

Minar el planificador de tarea

Un método popular final para automáticamente comenzar un backdoor en las máquinas de Windows NT/2000/XP/2003 implica el programar de una tarea de funcionar en el sistema. Usando el servicio del planificador de tarea, un atacante puede decir el sistema funcionar un programa específico en los momentos específico, en fechas específicas, o cuando ocurren ciertos acontecimientos, por ejemplo la conexión del cargador del sistema o del usuario.

Usted puede programar nuevas tareas en su sistema o visión los que esta' programar ya usando el GUI programar de las tareas en el panel de control de sistema. Alternativomente, usted podría utilizar en la comando-li'nea herramienta en Windows NT, 2000, y XP o los schtasks ordenan en Windows.xp y 2003 a las tareas de la visión o del horario. El GUI y la línea de comando demuestran una vista de alto nivel de los programas programar para funcionar en el sistema. El detalle proporcionado por en el comando es útil. Para conseguir esa clase de información del GUI, usted tendría que chascar encendido las tareas individuales demostradas en la carpeta programar de las tareas. Una cosa agradable sobre la opinión del GUI es que incluye todas las tareas invocadas por el planificador de tarea, incluyendo acciones tiempo-basado y del sistema del start-up. Note que la tarea con un número de la identificación de 2 incluye una línea de comando para funcionar backdoor.exe. ¡Gee, me pregunto lo que aquél pudo hacer!

Defensas: Detección De las Técnicas Que comienzan Backdoor De Windows

Así pues, los atacantes tienen un manojo de maneras de instalar un backdoor en Windows para funcionar de largo después de que el mal individuo se haya ido. Para prevenir tales ataques, usted necesita mantener a los malos individuos apagado de su sistema el primer lugar. Una pequeña prevención va una manera larga en parar este tipo de ataque.

Sin embargo, uniforme con los pasos preventivos más grandes, algunos atacantes pudo el hallazgo inmóvil una manera adentro. ¿Así pues, más allá de la prevención, cómo puede usted detectar configurar de nuevo de un atacante de su sistema para comenzar automáticamente un backdoor? Bien, usted podría comprobar manualmente cada archivo y carpeta cada llave del registro demostrada en la tabla arriba y las tareas programar de ver si algo a pescado programar. Desafortunadamente, manualmente la comprobación de todas estas posibilidades requerirá los gobs del tiempo de la frustración pasados en el aislamiento frío, solo.

Feliz, hay una herramienta libre agradable llamada AutoRuns que venga al rescate. Disponible en ninguna carga de la gente fina en Sysinternals en www.sysinternals.com, este programa enumera automáticamente todas las tareas automáticamente que comienzan en su caja de Windows NT/2000/XP, incluyendo carpetas de lanzamiento, archivos, ajustes del registro, y tareas programar. La herramienta de AutoRuns exhibe no sólo las muchas diversas llaves, carpetas, y tareas del registro del start-up distribuidas a través del sistema, sino que también demuestra los valores que se han fijado a. Usted puede ver el nombre exacto de cada programa, servicio, o escritura que consiga ejecutada durante el arranque para cada método. Eso es una lista práctica a tener, para la seguridad y los propósitos de localización de averías. Usando AutoRuns, usted no tendrá que cavar a través de un manojo de llaves y de carpetas del registro para ver qué programas se ejecutan durante cargador del sistema. Toda la información se recoge junta en un GUI agradable, que incluso apoya automáticamente saltar a cada llave de la carpeta o del registro así que usted puede corregir fácilmente su valor.

Soy ciertamente un ventilador grande de AutoRuns, pero tiene una limitación significativa cuando está utilizado encontrar varios backdoors automáticamente de funcionamiento. AutoRuns hace exactamente qué anuncia: Demuestra esos programas y escrituras se activen que cuando el sistema comienza para arriba o los usuarios específicos a entrar. Sin embargo, con su foco en acontecimientos del arranque y de la conexión solamente, AutoRuns no demuestra ninguna tareas que programar al funcionamiento basado en momentos específico del día. Un atacante podría programar un backdoor para recomenzar cada mañana en 3:00 mañana, y AutoRuns no lo demostrará, porque se basa el hora. Si usted confía en AutoRuns para encontrar automáticamente comenzar backdoors, recuerde así pues, que usted todavía tiene que comprobar las tareas programar mirando en el panel de control programar de tareas, funcionando en el comando, o usando los schtasks ordenan.

Además, usted podría utilizar un programa de comprobación de la integridad del archivo para buscar sus máquinas de Windows para cualquier alteración de los ficheros del sistema críticos y de las llaves del registro. Estos programas contienen una base de datos de las buenas huellas digitales sabidas de los ficheros del sistema críticos y de los valores del registro, incluyendo esos archivos y directorios asociados a la inicialización del arranque y del usuario de sistema. Cuando se detecta un cambio, la herramienta le alertará que así que usted puede calcular fuera de quién realizó el cambio: un administrador de sistema que realizaba mantenimiento estándar del sistema o un atacante malvado se dobló en la dominación del mundo. Después de inicializar la herramienta para crear la base de datos de huellas digitales, usted puede programar el programa de comprobación de la integridad del archivo para funcionar sobre una base regular, tal como cada día o aún cada hora. Cuando funciona, la herramienta comprobará para saber si hay alteraciones a los archivos que usted la dice mirar. Cuando encuentra un cambio a uno del arranque o los archivos de la inicialización del usuario descritos en esta sección, después el administrador de sistema debe reconciliar cualquier cambio con actividad legítima reciente del sistema. El inspector de la integridad del archivo actúa como un protector de seguridad humano, limpiando su sistema para los cambios desautorizados.

Si el administrador instaló legítimo un remiendo, pellizcó el proceso del cargador, o alteró un ambiente de usuario, la alarma de la herramienta es simplemente un alarmar falso. Si no, un atacante pudo estar en el vagabundeo, modificando la configuración de sistema para comenzar para arriba un backdoor. Este proceso de la reconciliación no está para el débil del corazón. Requiere mucho de esfuerzo por la pieza del administrador de sistema, pero es lejos más fácil que comprobando la integridad de cada solos archivo y directorio a mano. Los programas de comprobación numerosos de la integridad del archivo de Windows están disponibles, incluyendo la versión comercial de Tripwire, en www.tripwire.com. Desafortunadamente, la versión libre de Tripwire no apoya Windows. Vario la otra integridad del archivo que comprueba las herramientas está disponible para Windows, incluyendo monitor de la integridad del sistema de GFI LANguard y centinela de los datos de Ionx.

Comenzar UNIX Backdoors

Seguros, los muchos de la oferta de los sistemas de Windows de maneras de comenzar automáticamente a ejecutar programas, pero UNIX no es ningún slouch tampoco. De hecho, los sistemas de UNIX son extremadamente licenciosos en su gusto para comenzar encima de las escrituras y de los programas. Como con Windows, cada de estas técnicas se podía abusar para comenzar un backdoor. En UNIX, las técnicas bajan en varias categorías, incluyendo la adición o la modificación de las escrituras de la inicialización de sistema, modificando la configuración del demonio del Internet (inetd), alterando un ambiente de usuario, y programar trabajos.

Modificación de los config del Uber-Proceso: inittab

Cuando se patea un sistema de UNIX, funciona una variedad de escrituras y de programas de la inicialización. El primer proceso a funcionar en una máquina de UNIX es el demonio del init, que activa el resto de los procesos necesitados durante cargador del sistema. El archivo /etc/inittab contiene a un init de la escritura diciendo lo que deben comenzar otros procesos él. Un atacante podría agregar una línea al archivo del inittab que comienza para arriba propio backdoor del atacante como parte de la secuencia del cargador. El archivo del inittab contiene entradas con el formato [ id]:[rstate]:[action]:[process ], definido como sigue:

• La identificación es un número único asignado a esta entrada, apenas cuatro caracteres que no se deban utilizar para ninguna otra entrada.

• El rstate es el nivel del funcionamiento que accionará la entrada. Cuando usted patea un sistema de UNIX, usted puede indicar un nivel del funcionamiento para identificar qué nivel de servicios usted requiere cuando el sistema empieza para arriba. El nivel del funcionamiento se puede fijar para especificar el booting al modo single-user, que requiere muy pocos servicios, o cambiar al modo multiusos, que requiere más servicios.

• La acción especifica lo que debe hacer el init con el programa particular, tal como recomienzo de un proceso si ha muerto, de ejecutar un proceso una vez, o de ejecutarlo cada vez que se patea el sistema. El recomienzo de un proceso cuando muere es comportamiento realmente práctico para un programa backdoor.

• El campo de proceso es donde las cosas consiguen interesantes. Indica un shell script específico que se deba ejecutar por el init. Si un atacante utiliza el inittab para comenzar un backdoor, el campo de proceso referirá al nombre del programa backdoor sí mismo o a una escritura usada para comenzar el backdoor.

Modificación de otras escrituras de la inicialización del sistema y del servicio

En la mayoría de los sistemas de UNIX, el archivo del inittab dice generalmente el init funcionar una serie de escrituras de la inicialización del servicio para comenzar varios servicios a funcionar en una caja. En vez de alterar el inittab sí mismo, un atacante podría también modificar estas varias escrituras de la inicialización del servicio, que comienzan los servicios tales como httpd (un servidor del Web), el sendmail (un mail server popular), y el sshd (el demonio seguro de la cáscara usado para el acceso alejado seguro). Dependiendo de su sabor particular de UNIX, éstos mantienen las escrituras de la inicialización se almacenan a menudo en los directorios de /etc/rc.d o de /etc/init.d. En un sistema típico de UNIX, hay 20 o más tales escrituras, cada 10 a 50 líneas desea, proporcionando la tierra fértil para plantar un backdoor. Un atacante podía agregar simplemente una escritura backdoor a uno de estos directorios, o aún altera las escrituras ya-existentes para golpear con el pie de un backdoor. Por ejemplo, podría agregar un nuevo servicio llamado httpb (observe el "b que se arrastra" para backdoor, que parece el "httpd"), o aún modifico la escritura ya-existente que comienza el httpd verdadero de modo que él primero los funcionamientos mi backdoor, y después enciende su servidor del Web.

Como ataque final contra sus escrituras de lanzamiento, un atacante podría igualar la planta justa un backdoor en un archivo de la configuración que una de las escrituras existentes de la inicialización del servicio funcionará como empieza para arriba. Por ejemplo, si su sistema utiliza siempre el punto al protocolo de punto (PPP) para las conexiones de marcado manual del módem, la máquina intentará ejecutar una escritura de la configuración llamada /etc/ppp/ip-up.local. La mayoría del tiempo, esta escritura no es necesario, así que está generalmente en blanco. Sin embargo, podría poner el nombre de mi backdoor en este archivo, y cada vez que usted marca encima de usar su módem, mi funcionamiento backdoor repugnante de la voluntad.

El ir después de la configuración de los inetd

Más allá de estas escrituras de lanzamiento variadas, los atacantes también alteran con frecuencia la configuración de un proceso particular usado extensamente para apoyar los servicios de red, a saber el demonio del Internet (inetd, pronunciado "yo-red-dee"). En una caja de UNIX, el proceso del inetd espera el tráfico de la red para una variedad de servicios, incluyendo el ftp, el telnet, y otros. Cuando el inetd recibe el tráfico previsto para uno de estos servicios, funciona el servidor asociado para manejar el tráfico si se configura para funcionar el servicio. Los atacantes podrían modificar o agregar una línea al archivo de la configuración del inetd, que se almacena en el archivo de /etc/inetd.conf o en el directorio de /etc/xinetd.d, dependiendo del sabor particular de UNIX. Modificando la configuración de los inetd, un atacante podría decir el inetd funcionar un backdoor cuando el tráfico específico llega para un puerto particular del TCP o del UDP. El inetd de modificación para comenzar un backdoor es una de las técnicas backdoor más comunes del uso contra los sistemas de UNIX hoy. En nuestra analogía corporativa de la jerarquía, el inetd es director, pero extremadamente importante. El soborno de este director podría dar a un atacante el acceso alejado a la corporación, porque el inetd escucha en la red conexiones.

Ajuste De las Escrituras Del Arranque Del Usuario

Cuando un usuario entra a un sistema de UNIX o funciona ciertos comandos, el sistema activa una variedad de escrituras para inicializar el ambiente de usuario. Estas escrituras dejaron a usuarios modificar su ambiente para requisitos particulares que computaba funcionando comandos específicos durante la conexión. Los archivos de lanzamiento del usuario más común se describen en la tabla abajo. Un atacante podría agregar una sola línea que contenía el nombre de un backdoor de estas escrituras para activar eso backdoor cuando se funciona la escritura. Haciendo las materias del peor uniforme, estas escrituras se dispersan a través de los directorios caseros de los usuarios, tan bien como el directorio casero para la cuenta del superuser en el sistema, raíz. Porque no se almacenan en una sola localización, los administradores pueden tener apuro el seguir abajo del arreglo para requisitos particulares de los usuarios individuales de estos archivos. Muchas de estas escrituras son 10 a 50 líneas largas, porciones otra vez de ofrecimiento de las opciones para que un atacante haga furtivamente en la activación de un backdoor.

Las escrituras comunes se asociaron a la activación de la conexión o del programa del usuario

Nombre De la Escritura Del Usuario	Programa asociado que activa la escritura y el uso típico
login	Las cáscaras del csh y del tcsh activan esta escritura cuando un usuario entra.
cshrc	Las cáscaras del csh y del tcsh funcionan esta escritura cuando se comienza una nueva cáscara del comando.
kshrc	La cáscara del ksh funciona esta escritura cuando se comienza una nueva cáscara del comando.
bashrc	La cáscara del golpe funciona esta escritura cuando se comienza una nueva cáscara del comando.
bash_profile	La cáscara del golpe activa esta escritura cuando un usuario entra.
/etc/profile	Cuando cualquier registro del usuario en el sistema usando el sh o golpea cáscaras, esta escritura se activa.
profile	Después de que /etc/profile se funcione durante la conexión del usuario con el sh o golpee cáscaras, se activa el archivo del profile de un usuario individual del extremo.
logout	Las cáscaras del csh y del tcsh funcionan esta escritura cuando un usuario registra hacia fuera.
xinitrc	El comando del startx que invoca el sistema de la ventana de X almacena su información del ambiente en este archivo (en los sistemas de RedHat Linux, esta información también se almacena en el archivo de los Xclients).
xsession	El programa del xdm utiliza este archivo para configurar la sesión inicial de la ventana de X.

Trabajos malvados programar con Cron

Un método popular final para activar un backdoor en UNIX implica el programar de un trabajo que funcione el backdoor usando al demonio del cron. Cron trabaja algo como el planificador de tarea de Windows. En ciertas horas predefinidas, el cron ejecuta las escrituras, que podrían incluir backdoors. Se configura Cron usando los archivos del crontab, que se encuentran en /etc/crontab y /etc/cron.d para los trabajos del administrador de sistema. Los usuarios individuales pueden también crear trabajos programar en el directorio de /etc/spool/cron. Agregando una sola entrada de estos archivos, un atacante podía programar un backdoor para comenzar en un momento específico, o durante la inicialización de sistema. Así pues, usando el cron, un atacante puede configurar el sistema para comenzar para arriba el backdoor cada hora, si no está funcionando ya. Esa manera, si mi proceso backdoor consigue siempre matado por un administrador de sistema, un reboot de la máquina, o un fallo del sistema, tendré que solamente esperar un máximo de una hora antes de que la máquina lo recomienza para mí.

Defensas: Detección De las Técnicas Que comienzan Backdoor de UNIX

Así pues, agregando encima de todas las diversas áreas un atacante puede utilizar comenzar un backdoor, usted puede ser que mire vario cientos archivos y los directorios, consistiendo en algunas mil líneas de difi'cil-a-leyeron las escrituras. ¡Un qué dolor! Claramente, buscar la jerarquía de esta rata para backdoors no es algo que un ser humano típico podría hacer sobre una base regular. Por esta razón, usted debe utilizar una herramienta automatizada que las alarmas usted cuando los cambios se realizan a los varios archivos y escrituras de la configuración enumerados en esta sección.

Varios programas de comprobación populares de la integridad del archivo están disponibles sobre una base comercial y libre para actuar como sus criados digitales en lograr esta meta. Como sus contrapartes de Windows que discutimos anterior, estas herramientas crean una base de datos de criptográfico hashes ese acto como las huellas digitales digitales de sus ficheros del sistema críticos y comprueban periódicamente su estado del sistema contra él.

Un número enorme de la integridad del archivo que comprueba las herramientas está disponible para UNIX. El granddaddy de estas herramientas es el Tripwire venerable, disponible sobre una base comercial y libre para UNIX en www.tripwire.com y www.tripwire.org, respectivamente. También, el AYUDANTE de las herramientas de la fuente (www.cs.tut.fi/~rammer/aide.html) yel Osirislibres, abiertos (http://osiris.shmoo.com/) realizan cheques similares.