ネットの後ろの外観
ハッカーの攻撃を受けて憤慨していますか?ファイアウォールの警報が鳴るたびに、沈黙を選ぶか、それとも適切な警告を与えるか?手を出す時は手を出して、相手に善意の「馬力を落とす」技術を貸しましょう。システムが攻撃されたことを検知した場合、警報を出したり、データを記録したりするのが普通です。例えば、通常の天網防火壁は、システムが攻撃されたことを検知すると、システムトレイの天網アイコンに点滅する警報信号が表示され、アイコンをダブルクリックして、ポップアップウィンドウから攻撃者のソースを得ることができます。
図1は攻撃者のIPアドレスを知ってから、私達はメッセンジャーサービスを使って相手にメッセージを提供してみてもいいです。Windows 2000/XPデフォルトでは、メッセンジャーサービスがオープンしています。他の人からメッセージが届きます。攻撃者に対してメッセンジャーメッセージを送ると、「コマンド・プロンプト」のウィンドウが開き、「net send 218.51.***警告メッセージ」を入力できます。入力するテキストメッセージが多い場合は、Windows 2000にもう一つの方法があります。[コントロールパネル]→[管理ツール]→[コンポーネントサービス]を開いて、マウスで「ローカルコンピュータ上のサービス」を右クリックし、ポップアップメニューの[すべてのタスク]→[コントロールメッセージを送信]を選択し、メッセージの内容を入力したら[追加]ボタンをクリックし、受信者のIPアドレスを入力します。最後に[送信]ボタンをクリックすればいいです。注意:もし相手が通信サービスを開いていなかったり、通信サービスをサポートしていないシステム(Windows 98など)を使っていたりすると、エラーメッセージが送信されます。情報はどこに送りますか?ソフトウェアの経験が好きな友達に対して、ブロードバンドに行ったらきっと楽しくダウンロードして各種のソフトウェアを試してみます。しかし一部のソフトウェアは「羊の皮をかぶった狼」のようです。彼らはあなたの秘密をこっそり盗むかもしれません。そして主人のメールボックスに送ります。自分の不安なソフトについては、ネット上での一挙一動を知るために、彼らが活動しているパケットを記録して、「情報」を集めているメールアドレスを探してみてください。メールで状況を知ることができます。現在ネットワークのデータパッケージを切り取り、記録できるソフトが多いので、KFWを採用することを推奨します。これはファイアウォールソフトで、指定されたアプリケーションのネットワークパケットを取得し、送信と受信のデータを記録します。保存、分析を行い、ネットワークソフトウェアの背後の一挙手一投足を把握します。KFWのダウンロードアドレス:http://www8.pconline.com.cn/download/swdetail.phtml?id=7753、インストール後に再起動して使えます。異なるネットワークファイアウォールを一緒に使うと、互いに衝突する可能性があります。KFWを使う時、他のネットファイアウォールを閉じることを勧めます。初期のコンピュータ侵入者から、彼らは侵入されたシステムに戻る技術や裏口を開発するために努力しています。大多数の侵入者の裏口は、管理者がパスワードを変えても再び侵入し、再侵入が発見された可能性を最小限に抑える目的を実現しています。バックドアの多くは日記を避けています。侵入者がシステムを使っていても、彼がオンラインであることを示すことができません。侵入者が管理人が既に設置された裏口を検出する可能性があると考えている場合、システムの脆弱性を唯一の後門として繰り返し機械を破壊します。私達は裏口を討論する時、ハッキングしたハッカーがシステムの権限を獲得した後の行動を想定しています。1、Rhosts++後門はネット接続のUnixマシンの中にあります。RshとRloginのようなサービスはrhostsに基づいています。簡単な認証方法を使って、ユーザーはパスワードなしで簡単に設定を変更できます。侵入者は訪問できる料理ユーザーのrhostsファイルに「+」を入力すれば、誰でもどこからでもこの口座に入れることができます。ホームディレクトリがNFSを通じて外部に共有される場合、侵入者はより熱心にここにいる。これらのアカウントも侵入者が再び侵入する裏口となっています。多くの人がRshを使うのが好きで、団はそれのために普通は日誌の能力に不足します。多くの管理人はよく「+」をチェックします。だから、侵入者は実際にネット上の別のアカウントのホスト名とユーザー名を多く設定して、発見されにくいです。2、検査とタイムスタンプの後門の早期段階で、多くの侵入者は自分の「トロイの木馬」プログラムでバイナリファイルを代替します。システム管理者はタイムスタンプとシステムチェックとの手順によって、Unixのsumプログラムなどのバイナリファイルが変更されたかどうかを判別します。このために侵入者はトロイの木馬ファイルと元のファイルタイムスタンプを同期させる新しい技術を開発しました。これは、システムクロックを元のファイル時間に戻してから、トロイのファイルの時間をシステム時間として調整するというものです。二進法でトロイの木馬ファイルが元の正確な同期になれば、システム時間を現在の時間に戻すことができます。sumプログラムはcrc検査に基づいて、騙されやすいです。3、Loginバックドアunixでは、Loginプログラムは通常、telnetからのユーザーをパスワード検証するために使用されます。侵入者はloginのソースコードを取得して修正して、入力パスワードとパスワードの保存を比較する時に、後門パスワードを確認するようにします。ユーザーがバックドアのパスワードを入力すると、管理者が設定したパスワードを無視して長駆的に入力します。これは侵入者が任意のアカウントに入ることができます。バックドアのパスワードはユーザが実際にログインしてログに登録されたutmpとwtmPの前に発生したアクセスですので、侵入者はshellにログインしてもアカウントが暴露されません。管理者がこのようなバックドアに気づいたら、「stings」コマンドを使ってロゴプログラムを検索してテキスト情報を探します。多くの場合、裏口のパスワードは元の形になります。侵入者はまた隠しパスワードを暗号化したり変更したりして、stingsコマンドを無効にします。従って、多くの管理者はMD 5を利用してこの裏口を検証し、検査する。4、サービスバックドアのほとんどのネットサービスは侵入者に後門を作られたことがあります。あるTCPポートshellに接続するだけで、バックドアのパスワードでアクセスができます。管理貝はこれらのサービスが実行されていることに十分注意して、MD 5を使って元のサービスプログラムをチェックします。5、CronjobバックドアUnix上のCronjobはスケジュールによって特定のプログラムの運行をスケジュールすることができます。侵入者は後門のshellプログラムに参加して、1 AMから2 AMの間を運行させます。毎晩1時間ぐらい訪問ができます。クラウンjobでよく実行される合法的なプログラムを確認しながら、裏口に入れることもできます。6、倉庫の裏口のほとんどのUnixシステムは共有ライブラリを使っています。一部の侵入者はcryPt.cと_のようにいます。これらの関数の中で裏口をしました。Loginのようなプログラムはcrypt()を呼び出し、バックドアのパスワードペアを使ってshellを生成するので、管理者がMD 5でLoginプログラムをチェックしても、バックドア関数を生成することができます。また、多くの管理者は、ライブラリが裏口にされているかどうかを確認しません。また、侵入者はopen()とファイルアクセス関数を裏口にします。裏口関数は元のファイルを読みますが、トロイの木馬後門プログラムを実行します。したがって、MD 5がこれらのファイルを読む時、チェックサムは正常です。しかし、システムが実行される時は、トロイの木馬バージョンを実行します。トロイの木馬庫そのものでもMD 5チェックは避けられます。管理者にとってバックドアを見つけることができる方法があります。すなわち、静的プログラミングMD 5チェックプログラムが実行されます。静的接続プログラムはトロイの木馬共有ライブラリを使用しません。
図1は攻撃者のIPアドレスを知ってから、私達はメッセンジャーサービスを使って相手にメッセージを提供してみてもいいです。Windows 2000/XPデフォルトでは、メッセンジャーサービスがオープンしています。他の人からメッセージが届きます。攻撃者に対してメッセンジャーメッセージを送ると、「コマンド・プロンプト」のウィンドウが開き、「net send 218.51.***警告メッセージ」を入力できます。入力するテキストメッセージが多い場合は、Windows 2000にもう一つの方法があります。[コントロールパネル]→[管理ツール]→[コンポーネントサービス]を開いて、マウスで「ローカルコンピュータ上のサービス」を右クリックし、ポップアップメニューの[すべてのタスク]→[コントロールメッセージを送信]を選択し、メッセージの内容を入力したら[追加]ボタンをクリックし、受信者のIPアドレスを入力します。最後に[送信]ボタンをクリックすればいいです。注意:もし相手が通信サービスを開いていなかったり、通信サービスをサポートしていないシステム(Windows 98など)を使っていたりすると、エラーメッセージが送信されます。情報はどこに送りますか?ソフトウェアの経験が好きな友達に対して、ブロードバンドに行ったらきっと楽しくダウンロードして各種のソフトウェアを試してみます。しかし一部のソフトウェアは「羊の皮をかぶった狼」のようです。彼らはあなたの秘密をこっそり盗むかもしれません。そして主人のメールボックスに送ります。自分の不安なソフトについては、ネット上での一挙一動を知るために、彼らが活動しているパケットを記録して、「情報」を集めているメールアドレスを探してみてください。メールで状況を知ることができます。現在ネットワークのデータパッケージを切り取り、記録できるソフトが多いので、KFWを採用することを推奨します。これはファイアウォールソフトで、指定されたアプリケーションのネットワークパケットを取得し、送信と受信のデータを記録します。保存、分析を行い、ネットワークソフトウェアの背後の一挙手一投足を把握します。KFWのダウンロードアドレス:http://www8.pconline.com.cn/download/swdetail.phtml?id=7753、インストール後に再起動して使えます。異なるネットワークファイアウォールを一緒に使うと、互いに衝突する可能性があります。KFWを使う時、他のネットファイアウォールを閉じることを勧めます。初期のコンピュータ侵入者から、彼らは侵入されたシステムに戻る技術や裏口を開発するために努力しています。大多数の侵入者の裏口は、管理者がパスワードを変えても再び侵入し、再侵入が発見された可能性を最小限に抑える目的を実現しています。バックドアの多くは日記を避けています。侵入者がシステムを使っていても、彼がオンラインであることを示すことができません。侵入者が管理人が既に設置された裏口を検出する可能性があると考えている場合、システムの脆弱性を唯一の後門として繰り返し機械を破壊します。私達は裏口を討論する時、ハッキングしたハッカーがシステムの権限を獲得した後の行動を想定しています。1、Rhosts++後門はネット接続のUnixマシンの中にあります。RshとRloginのようなサービスはrhostsに基づいています。簡単な認証方法を使って、ユーザーはパスワードなしで簡単に設定を変更できます。侵入者は訪問できる料理ユーザーのrhostsファイルに「+」を入力すれば、誰でもどこからでもこの口座に入れることができます。ホームディレクトリがNFSを通じて外部に共有される場合、侵入者はより熱心にここにいる。これらのアカウントも侵入者が再び侵入する裏口となっています。多くの人がRshを使うのが好きで、団はそれのために普通は日誌の能力に不足します。多くの管理人はよく「+」をチェックします。だから、侵入者は実際にネット上の別のアカウントのホスト名とユーザー名を多く設定して、発見されにくいです。2、検査とタイムスタンプの後門の早期段階で、多くの侵入者は自分の「トロイの木馬」プログラムでバイナリファイルを代替します。システム管理者はタイムスタンプとシステムチェックとの手順によって、Unixのsumプログラムなどのバイナリファイルが変更されたかどうかを判別します。このために侵入者はトロイの木馬ファイルと元のファイルタイムスタンプを同期させる新しい技術を開発しました。これは、システムクロックを元のファイル時間に戻してから、トロイのファイルの時間をシステム時間として調整するというものです。二進法でトロイの木馬ファイルが元の正確な同期になれば、システム時間を現在の時間に戻すことができます。sumプログラムはcrc検査に基づいて、騙されやすいです。3、Loginバックドアunixでは、Loginプログラムは通常、telnetからのユーザーをパスワード検証するために使用されます。侵入者はloginのソースコードを取得して修正して、入力パスワードとパスワードの保存を比較する時に、後門パスワードを確認するようにします。ユーザーがバックドアのパスワードを入力すると、管理者が設定したパスワードを無視して長駆的に入力します。これは侵入者が任意のアカウントに入ることができます。バックドアのパスワードはユーザが実際にログインしてログに登録されたutmpとwtmPの前に発生したアクセスですので、侵入者はshellにログインしてもアカウントが暴露されません。管理者がこのようなバックドアに気づいたら、「stings」コマンドを使ってロゴプログラムを検索してテキスト情報を探します。多くの場合、裏口のパスワードは元の形になります。侵入者はまた隠しパスワードを暗号化したり変更したりして、stingsコマンドを無効にします。従って、多くの管理者はMD 5を利用してこの裏口を検証し、検査する。4、サービスバックドアのほとんどのネットサービスは侵入者に後門を作られたことがあります。あるTCPポートshellに接続するだけで、バックドアのパスワードでアクセスができます。管理貝はこれらのサービスが実行されていることに十分注意して、MD 5を使って元のサービスプログラムをチェックします。5、CronjobバックドアUnix上のCronjobはスケジュールによって特定のプログラムの運行をスケジュールすることができます。侵入者は後門のshellプログラムに参加して、1 AMから2 AMの間を運行させます。毎晩1時間ぐらい訪問ができます。クラウンjobでよく実行される合法的なプログラムを確認しながら、裏口に入れることもできます。6、倉庫の裏口のほとんどのUnixシステムは共有ライブラリを使っています。一部の侵入者はcryPt.cと_のようにいます。これらの関数の中で裏口をしました。Loginのようなプログラムはcrypt()を呼び出し、バックドアのパスワードペアを使ってshellを生成するので、管理者がMD 5でLoginプログラムをチェックしても、バックドア関数を生成することができます。また、多くの管理者は、ライブラリが裏口にされているかどうかを確認しません。また、侵入者はopen()とファイルアクセス関数を裏口にします。裏口関数は元のファイルを読みますが、トロイの木馬後門プログラムを実行します。したがって、MD 5がこれらのファイルを読む時、チェックサムは正常です。しかし、システムが実行される時は、トロイの木馬バージョンを実行します。トロイの木馬庫そのものでもMD 5チェックは避けられます。管理者にとってバックドアを見つけることができる方法があります。すなわち、静的プログラミングMD 5チェックプログラムが実行されます。静的接続プログラムはトロイの木馬共有ライブラリを使用しません。