Начиная Backdoors автоматически

Когда злоумышленник выходные в системе и устанавливает backdoor, то он или она, как правило, вручную активирует backdoor программы. Однако, когда злоумышленник бревна из машины, он или она больше не находится в прямой контроль системы. Итак, что держит, что backdoor выполняется на повседневной основе после плохой парень оставил? Предположим, один pesky системному администратору перезагрузок системы, или еще хуже, машина аварий. Если поле начинается вновь, в backdoor не начнется больше, лишая атакующего его трудом боролись доступа. Для исправления этого беспокойства, Коварный villain обычно меняет машину на перезагрузку backdoor автоматически на периодической основе, особенно во время процесса загрузки системы. В этом разделе речь пойдет о том, как плохие парни манипулировать систем, чтобы их backdoors автоматического перезапуска. Поскольку эти методы так сильно зависят от типа системы, мы анализируем Windows и UNIX backdoor начиная механизмов отдельно.

Настройка Windows Backdoors начать

Windows многих машин с различными автоматической программы начального потенциала. Атакующий может поставить имя исполняемого файла программа или скрипт на любом из различных местах на операционной системе автоматического запуска этой программы. Вообще говоря, Windows машин предлагают три различных типа механизмов автоматически начиная вредоносные (или даже nonmalicious) код: горстка autostart файлов и папок, множество параметров реестра, и запланированного задания.

Изменение загрузочных файлов и папок

Давайте начать обсуждение запуска файлов и folders.The таблице ниже приводится несколько мест, которые будут автоматически активировать произвольных исполняемых скриптов на Windows системе при конкретных событий, таких, как система загрузиться или конкретного пользователя при входе в машину. Атакующий может включать имя какой-либо backdoor программы в любом из этих файлов или папок, чтобы он автоматически запустить на целевой системе.

Windows запуска файлов и папок
Файла или папки Название	Как файл или папку может быть изменено автоматически активировать Backdoor
Autostart Папки	Нападавший с места backdoor или ссылка на него в этих папках, которые приводятся в действие при запуске или хотя пользователя в систему. По Win95/98/Me, одну папку проводит эту информацию, расположенном по адресу C: \ Windows \ Меню Пуск \ Programs \ StartUp. WinNT/2000/XP/2003 систем включают autostart папку, как правило, связаны с "All Users", а также отдельные autostart папки для индивидуальных пользователей, расположенных в следующих местах: WinNT - C: \ Winnt \ Профили \ [user_name] \ Пуск \ Programs \ StartUp Win2000 - C: \ Documents и Settings \ [user_name] \ Пуск \ Programs \ StartUp и (если повышен с Windows NT) и C: \ Winnt \ Профили \ [user_name] \ Пуск \ Programs \ StartUp WinXP/2003- C: \ Documents и Settings \ [user_name] \ Пуск \ Programs \ Startup
Win.ini	Win.ini содержит информацию о инициализации операционной системы. Этот файл может быть изменена, чтобы начать backdoor двумя способами. Во-первых, он может непосредственно исполнить программу, говорится в файл, используя текст "запустить = [backdoor]", или "нагрузка = [backdoor]". Во-вторых, он может присоединиться некоторые дроби (например, ". Документ "или". Htm "), с backdoor программа, которая будет идти каждый раз файл с таким суффиксом осуществляется системы. Этот файл местоположение меняется, но, как правило, расположены в: Win95/98/Me- C: \ Windows \ win.ini WinNT/2000- C: \ Winnt \ win.ini WinXP/2003- C: \ Windows \ win.ini
System.ini	Этот файл содержит настройки для системы оборудования. В Windows 3.X и Windows 9X этот файл поддерживает "корпус =" команду, которая используется для определения пользователя оболочки для запуска в момент загрузки системы. Корпус будет основным интерфейсом программы, что все пользователи видят при загрузке машины. Злоумышленники часто изменять строку оболочки = explorer.exe ", с тем, что вместо начала в Windows Explorer GUI, система выполняет backdoor при загрузке системы. В backdoor затем, в свою очередь, начинается фактическая пользователя оболочки, которая обычно explorer.exe. На более поздних версиях Windows (WinNT/2000/XP/2003), операционная система игнорирует "корпус =" синтаксис в System.ini. Поэтому этот метод не используется, чтобы начать backdoor на этих новых операционных систем. Этот файл обычно находится в следующих местах: Win95/98/Me- C: \ Windows \ System.ini WinNT/2000- C: \ Winnt \ System.ini Windows XP/2003- C: \ Windows \ System.ini
Wininit.ini	Этот файл создается при установке новых программ, программное обеспечение установлено и некоторые действия необходимо системе для завершения установки после перезагрузки системы. Например, при установке нового оборудования водителя, ваши установки программа может сделать вас перезагрузить систему. Как система перезагрузки, записи в Wininit.ini начнется некоторые программы во время загрузки. Кроме того, этот файл можно использовать для кражи названия некоторых широко используются исполняемые файлы и присвоить его к backdoor. Когда она используется, этот файл обычно находится в: Win95/98/Me- C: \ Windows \ wininit.ini WinNT/2000- C: \ Winnt \ wininit.ini Windows XP/2003- C: \ Windows \ Wininit.ini
Winstart.bat	В старых системах Windows (Вин 9X), этот файл обычно используется для запуска старых MS DOS - программы в среде Windows. Атакующий может включать соответствие с синтаксисом "@ [backdoor]" запускать исполняемые файлы и скрыто от пользователя. Если она присутствует, он обычно расположен в C: \ Winstart.bat.
Autoexec.bat	Этот файл имеет отношение только на Windows 95/98 системах. Это игнорируется по Windows Me, NT, 2000, XP и 2003. Для обратной совместимости, он поддерживает запуск программ, в том числе, просто строка, в которой содержится ссылка на файл программы, например, "C: \ [backdoor]". Если она присутствует, он обычно расположен в C: \ Autoexec.bat.
Config.sys	Этот файл имеет отношение только на Windows 95/98 системах. Это игнорируется по Windows Me, NT, 2000, XP и 2003. Этот файл нагрузки низкого уровня MS - DOS базе водителей, и не включен в некоторых систем Windows. Она может включать в себя строку для выполнения backdoor. Если он присутствует, этот файл обычно находится в C: \ Config.sys.

Реестр правонарушений

Кроме файлов и папок, несколько ключей реестра могут использоваться для автоматического активации backdoor. Реестр является гигантская база данных жилья подробный состав операционной системы Windows и различных программ, которые установлены на компьютере. Каждый из ключей может быть изменено с помощью Regedit.exe программе, редактор реестра встроенной в Windows NT/2000/XP/2003 машин. Если вы собираетесь экспериментировать с любой из этих ключей, это чрезвычайно важно, что вам сделать резервную копию вашей системы до тонкой настройки реестра. Если Вы случайно изменить некоторые критические ключевых в вашем реестре, можно полностью шланг машины, что загружаться. Поэтому, пожалуйста, будьте внимательны. Критическое ключи реестра для автоматического начала программы показано ниже:

Ключи реестра, которые начинаются программ по Войти или перезагрузить
Реестра	Предназначение ключа
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce	Некоторые программы установки для запуска в фоновом режиме на Windows машине в качестве службы, как IIS Web сервер или файл и распечатать обмен услугами. Этот ключ реестра определяет, какие услуги должны быть начато в течение следующей перезагрузки системы и следующей перезагрузки только. Для всех последующих сапоги, услуги, не запускается
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices	Этот ключ реестра содержит перечень услуг, будет выпущен на каждой системе загрузиться.
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce	Этот ключ реестра определяет, какие программы (а не услуг) должна быть запущена в течение следующего перезагрузки и следующей перезагрузки только. Для всех последующих загрузке программы не будет выполняться.
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run	Эти программы осуществляются во время загрузки системы.
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx	Имеется только на Windows 98 и Me, этот ключ реестра указывает скриптов и программ, которые должны быть запущены во время загрузки, но не следует запускать как отдельные процессы. В целях повышения эффективности этих программ, не противоречат, как отдельные процессы, но вместо этого в качестве отдельной темы в рамках других процессов загрузки.
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit	Это ключ содержит имена программ должен быть казнен, когда любой пользователь регистрируется на системе. Она, как правило, указывает на пользователя GUI
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad	Этот ключ реестра активации программы после Windows GUI загрузки, такие как панели задач в нижнем правом углу Windows, и ее содержимое.
HKLM \ SOFTWARE \ Политика \ Microsoft \ Windows \ System \ Скрипты	Эта клавиша также различные сценарии, которые будут выполняться, когда Windows загружается.
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политика \ Explorer \ Run	Программы определены этого ключа реестра началась, когда пользователь GUI (explorer.exe) будет активирована.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce	Этот ключ реестра определяет, какие услуги следует начать следующий раз, когда пользователь регистрируется на один раз только. Для всех последующих logons, программы, не будет казнен.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices	Эти услуги начали каждый раз, когда пользователь регистрируется на системе.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce	Эти программы будут активированы раз, когда пользователь регистрируется на системе.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run	Эти программы выполняются каждый раз, когда пользователь регистрируется на машине.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx	Эти программы исполняются без запуска другой системе процесса.
HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политика \ Explorer \ Run	Эти программы выполняются каждый раз, когда пользователь регистрируется на системе.
HKCU \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ Run	Эти программы выполняются каждый раз, когда пользователь регистрируется на системе.
HKCU \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ Загрузить	Эти программы выполняются каждый раз, когда пользователь регистрируется на системе.
HKCU \ SOFTWARE \ Политика \ Microsoft \ Windows \ System \ Скрипты	Эти скрипты в действие всякий раз, когда пользователь регистрируется на машине.
HKCR \ Exefiles \ "Шелл \ Открыть \ Командования	Эта клавиша показывает программы, которые будут осуществляться в любое время другой EXE файл исполняется, очень часто на Windows машине, конечно!

Фу-х! Это долгий, отвратительный список, но важно признать, что являются ужасно много места злоумышленник может squirrel за название некоторых ужасно зла backdoor, чтобы он начался. Хотя этот перечень может быть изнурительным, он не является исчерпывающим. Текущие и будущие версии Windows, вероятно, будет иметь еще более параметров реестра для автоматического начала программы, как Windows сложность возрастает с каждым последующим системы патч, выпуск, и применение установлен.

Заметим, что некоторые из этих параметров реестра начать с буквы HKLM и другие начинаются с HKCU. В обоих случаях, H выступает за улей, ссылки на части из реестра Windows. HKLM означает улей ключ локальной машины, и указывает настройки системы. HKCU означает улей основных текущих пользователей, и определяются параметры для лица, в настоящее время вход в Windows машины. В большинстве случаев, для начала программы и услуги, в HKLM настройки осуществляются во-первых, после чего HKCU пунктов. Кроме того, HKCR, что означает улей основных классов корни, определяет различные программы, которые открыто Windows под конкретные события. Обеспечение хуже, этот список запуска компонентов не является единственным способом начать программы автоматически в Windows. Нам еще предстоит взглянуть на планировщика задач.

Подрыв планировщика задач

Окончательный популярным методом для автоматического создания backdoor по Windows NT/2000/XP/2003 машин включает планирование задача запустить в системе. С помощью планировщика задач службы, злоумышленник может указать системе, запускать конкретные программы в конкретное время, в конкретные даты, или когда определенные события, такие как система загрузки или при входе пользователя.

Можно выбрать новых задач в вашей системе или просматривать уже планируется с помощью Запланированные Задачи GUI в системе панели. Кроме того, можно использовать в командной строке инструмент Windows NT, 2000 и XP или schtasks команды в Windows XP и 2003 либо просмотреть или график задач. Как GUI и командной строки свидетельствуют о высоком уровне ввиду программы планируется запустить в системе. В подробности на на команду полезно. Для получения такой информации из GUI, Вы должны нажать на отдельных задач, указанных в Запланированные Задачи папку. Одно приятно, что о GUI считает, что она включает в себя все задачи ссылаться задача в планировщика, в том числе время и на основе системы начального действия. Заметьте, что задача с идентификационный номер 2 включает в командной строке запустить backdoor.exe. Джи, я хотел бы знать, что это можно сделать!

Защиты: обнаружение Windows Backdoor начиная методы

Итак, нападавшие имеют кучу способов создания backdoor на Windows запускать долго после плохой парень оставил. Для предотвращения таких нападений, нужно держать плохих парней вне вашей системы в первую очередь. Немного профилактики во многом остановить такого рода нападения.

Однако, даже с большим превентивные меры, некоторые нападавшие могли бы еще найти способ дюйма Так, помимо профилактики, как можно обнаружить злоумышленника преобразования из системы автоматически начать backdoor? Ну, можно вручную проверить каждый файл и папку каждый ключ реестра, указанных в таблице выше и запланированные задания, чтобы если что-то fishy не запланировано. К сожалению, вручную проверки всех этих возможностей потребует gobs из разочарование время, проведенное в холодной, одинокой изоляции.

К счастью, есть приятные бесплатной утилиты AutoRuns что приходит на выручку. Имеющиеся на безвозмездной основе с классными ребятами из Sysinternals на www.sysinternals.com, эта программа автоматически перечисляются все автоматически начиная задач на вашем Windows NT/2000/XP поле, в том числе запуска папок, файлов, параметров реестра и запланированного задания. В AutoRuns инструментом не только отображает различные начальные ключи реестра, папки и задачи распределены по всей системе, но это также свидетельствует о ценности они уже в задан. Вы можете увидеть точное название каждой программе, услуги или скрипт, который запускается на выполнение при старте для каждого метода. Это удобный список, к безопасности и устранения неполадок целей. Использование AutoRuns, у вас не будет копать через кучу ключей реестра и папок, чтобы посмотреть, какие программы будут выполнены в ходе загрузки системы. Вся информация собирается вместе в красивый графический интерфейс, который даже поддерживает автоматически переходя к каждой папке или ключ реестра, что позволяет легко редактировать ее стоимости.

Я, безусловно, большой поклонник AutoRuns, но есть упоминания ограничения при использовании для поиска различных автоматически текущих backdoors. AutoRuns делает именно то, что она рекламирует: Он показывает те программы и скрипты, которые приводятся в действие, когда система начинает или конкретным пользователям входить в систему. Однако, с его сосредоточиться на запуске и входе событий лишь AutoRuns не содержит никаких задач, которые планируется запустить на основе конкретных время суток. Атакующий может запланировать backdoor перезапустить каждое утро в 3:00 A.M. и AutoRuns не будет показывать его, потому что основаны на времени суток. Поэтому, если опираться на AutoRuns найти автоматически начиная backdoors, помните, что вам еще нужно проверять запланированные задания, посмотрев в Запланированные Задачи панели управления на команду, или с помощью schtasks командования.

Кроме того, можно использовать файл проверки целостности программы для поиска Windows машин для каких-либо изменений критических системных файлов и ключей реестра. Эти программы содержат базу данных известных хорошие отпечатки пальцев критические системные файлы и реестр, в том числе файлы и каталоги, связанные с системой запуска и инициализации пользователя. Когда изменение обнаружено, инструмент будет предупредить Вас, чтобы Вы могли понять, кто сделал изменение: системный администратор выполнении стандартной системы обслуживания или злой нападающий стремится мировому господству. После инициализации инструмент для создания базы данных отпечатков пальцев, можно запланировать файл проверки целостности программы для запуска на регулярной основе, например, каждый день или даже каждый час. Когда она проходит, инструмент будет проверять изменения в файлы Вы говорите это смотреть. Когда она обнаружит изменение одного из пользователей или запуске файлов инициализации, описанных в этом разделе, то системный администратор должен согласовать любые изменения с недавних законных активности системы. Файл Проверка целостности действия как человек охраны, полиции вашу систему для несанкционированных изменений.

Если администратор законно установил патч, вымышленные процесса загрузки, или изменены пользователем окружающей среды, инструмент в боевой готовности - это просто ложных тревог. В противном случае злоумышленник может быть по prowl, изменения конфигурации системы для начала осуществления backdoor. Этот процесс примирения - не самый легкий сердца. Он требует немало усилий по системному администратору стороны, но гораздо проще, чем проверить целостность каждого файла и директории вручную. Многочисленные Windows файл проверки целостности доступны, в том числе коммерческую версию Tripwire, в www.tripwire.com. К сожалению, бесплатная версия Tripwire не поддерживает Windows. Несколько другой файл проверки целостности инструменты доступны для Windows, включая GFI LANguard системы Monitor Целостность и Ionx данных Дозорный.

Запуск UNIX Backdoors

Конечно, Windows системы предлагают много способов, чтобы автоматически начать осуществление программ, UNIX, но не slouch либо. Действительно, UNIX систем чрезвычайно licentious в своих вкусах для начала скриптов и программ. Как и в случае с Windows, каждый из этих методов могут злоупотреблять начать backdoor. В UNIX, методы делятся на несколько категорий, в том числе добавлять или изменять скриптов инициализации системы, изменение конфигурации демона Интернет (inetd), изменения пользовательской среды, и график работы.

Изменение Убер - процесс конфигурации: inittab

Когда UNIX загрузки системы, это противоречит ряд инициализации скриптов и программ. Первый процесс запустить на UNIX машина инициализации демон, который активирует все другие процессы, необходимые во время загрузки системы. Файл / и т.д. / inittab содержит сценарий инициализации сказать, что другие процессы следует начать. Атакующий может добавить строку в inittab файл, который запускает игровой атакующего собственный backdoor как часть последовательность загрузки. В inittab файл содержит записи в формате [номер]: [rstate]: [решение]: [процесса], определяется следующим образом:

В номер - уникальный номер, присвоенный данной рубрики, всего четыре символы, которые не должны использоваться в любой другой раздел.
В rstate является перспективе уровня, что повлечет за собой вступление. Если загрузиться с UNIX системы, можно указать уровень перспективе определить, какой уровень обслуживания вам необходима, когда система загрузки. В перспективе уровень можно установить указать загрузку с одним пользовательском режиме, который требует очень мало услуг, или изменения к multiuser режиме, что требует дополнительных услугах.
Действия инициализации указывается, что следует сделать с конкретной программой, например, возобновления процесса, если он умер, осуществляет процесс один раз, или совершает каждый момент загрузки системы. Перезапуск процесса, когда он умирает очень удобно поведение для backdoor программы.
Процесс поле, где все немного сложнее. Он указывает конкретную сценарием оболочки, которые должны быть исполнены инициализации. Если злоумышленник использует inittab начать backdoor, процесс местах остановлюсь на название этой программы backdoor, или сценарий, который используется для запуска backdoor.

Изменение другие системы и службы скриптов инициализации

На большинстве UNIX систем, inittab файл инициализации обычно рассказывает запустить ряд услуг скриптов инициализации для начала различных служб, работающих на поле. Вместо изменения inittab себя, злоумышленник может изменить эти различные службы скриптов инициализации, которые начинаются такие услуги, файлам (веб сервер), sendmail (популярного почтового сервера) и sshd (Secure Shell в демона, используемых для безопасного удаленного доступа) . В зависимости от Ваших конкретных ароматов UNIX, эти службы инициализации скриптов зачастую хранятся в / и т.д. / rc.d или / и т.д. / init.d директорий. В типичной системе UNIX, есть 20 или более таких сценариев, каждый 10 на 50 строк, обеспечивая почву для посадки backdoor. Атакующий может просто добавить backdoor сценарий для одной из этих каталогов, или даже изменение уже существующие сценарии удар счет backdoor. Например, я мог бы добавить новую служба httpb (примечание прицепного "б" для backdoor, который выглядит "файлам"), или даже изменять уже существующие скриптом, который запускает реальную файлам, с тем, что он впервые проходит моя backdoor, , а затем начинается веб сервер.

В качестве последнего нападения вашего стартовых скриптах, злоумышленник может даже посадить backdoor в файл конфигурации, что один из существующих скриптов инициализации службы будет осуществляться как во время загрузки. Например, если ваша система постоянно используется точка к точке протокола (ППС) для модема телефонной линии связи, машина будет пытаться выполнить конфигурационный скрипт называется / и т.д. / ppp / IP- адрес - up.local. В большинстве случаев этот скрипт не нужен, поэтому, как правило, пустое. Однако, я мог бы поставить имя моего backdoor в этом файле, и каждый раз, когда вы диалап, используя ваш модем, моя nasty backdoor начнется.

Выходя после inetd конфигурационных

Помимо этих разнообразных стартовых скриптах, нападавшие также часто изменять конфигурацию одного конкретного процесса широко используются для поддержки сетевых услуг, а именно демона Интернет (inetd, произносится "я - чистый - dee"). В UNIX поле, то процесс inetd ожидает сетевого трафика для различных служб, включая FTP, Telnet и другие. Когда inetd получает трафик для одной из этих служб, он проходит соответствующие сервера для обработки трафика, если оно настроено на запуск сервиса. Злоумышленники могут изменить или добавить строку в конфигурационный файл inetd, которая хранится в / и т.д. / inetd.conf файл или в / и т.д. / xinetd.d каталог, в зависимости от конкретных ароматов UNIX. К inetd изменения конфигурации, злоумышленник может сказать inetd для запуска backdoor, когда конкретные движения приходят по определенному TCP или UDP порту. Изменение inetd начать backdoor является одним из наиболее распространенных методов в backdoor использовать против UNIX систем сегодня. В нашей корпоративной иерархии аналогии inetd - это режиссер, но чрезвычайно важным. Подкуп в этом случае директор может дать злоумышленнику удаленный доступ к корпорации, поскольку inetd прослушивает сеть для подключения.

Регулировка пользователем сценарии

Когда пользователь войдет в систему на UNIX систему или проходит определенные команды, система активирует различные сценарии инициализации пользователя среде. Эти скрипты позволяет пользователям настраивать их вычислительной среды, запустив конкретных команд во вход. Наиболее распространенными запуске пользователем файлов, описаны в таблице ниже. Атакующий может добавить одну строку, содержащую имя какой-либо backdoor на любой из этих скриптов, чтобы включить backdoor когда скрипт запустить. Обеспечение вопросов, что еще хуже, эти сценарии которые разбросаны по всей пользовательских каталогов, а также домашний каталог для учетной записи суперпользователя в системе корневой. Потому что они не хранятся в одном месте, администраторы могут иметь проблемы отслеживания отдельных пользователей настройки этих файлов. Многие из этих скриптов 10 на 50 строк, вновь предлагая множество вариантов злоумышленнику sneak в действие в backdoor.

Общие сценарии, связанные с пользователей Логин или активации программы
Имя пользователя скрипт	Вид программы, которая активирует и типичный сценарий использования
. вход	В csh и tcsh орудий активировать этот скрипт, когда пользователь регистрируется дюйма
. cshrc	В csh и tcsh орудий запустить этот скрипт, когда новая командной оболочки запускается.
. kshrc	В ksh корпуса проходит этот скрипт, когда новая командной оболочки запускается.
. bashrc для локальных нужд	В bash корпуса проходит этот скрипт, когда новая командной оболочки запускается.
. bash_profile	В bash оболочки активизирует этот скрипт, когда пользователь регистрируется дюйма
/ и т.д. / профиль	Когда любой пользователь войдет в систему, используя ш bash или орудий, этот скрипт будет активирована.
. профиля	После / и т.д. / профиля пользователя во время входа с ш bash или орудий, индивидуальный конечного пользователя. Профиль файла активации.
. выход	В csh и tcsh орудий запустить этот скрипт, когда пользователь регистрируется в.
. xinitrc	В команду startx, что приводит к X Window системы хранятся его экологической информации в этом файле (по RedHat Linux систем, эта информация также хранится в. Xclients файл).
. xsession	В xdm программа использует этот файл для первоначального конфигурирования X Window сессии.

Планирование зла Работа с Cron

Последним популярным методом активации backdoor по UNIX включает планирование работу, которая запускает backdoor, используя хрон демон. Cron работает, а как Windows планировщика задач. На некоторых предопределенных раз, хрон выполняет скрипты, которые могут включать backdoors. Cron настроен с помощью crontab файлов, которые находятся в / и т.д. / crontab и / и т.д. / cron.d на работу системного администратора. Индивидуальные пользователи могут также планируется создать рабочих мест в / и т.д. / spool / хрон каталоге. Добавляя одна запись в любой из этих файлов, злоумышленник может запланировать backdoor начать в определенное время или во время инициализации системы. Так, используя хрон, злоумышленник может настроить систему для начала осуществления backdoor каждый час, если она еще не запущена. Таким образом, если моя backdoor процесс все погибает на системного администратора, перезагрузите машину, или сбоях системы, я лишь придется ждать максимум один час до машины перезагружено она для меня.

Возражений: Обнаружение UNIX Backdoor начиная методы

Итак, суммирования всех различных областях злоумышленник может использовать для начала backdoor, его можно рассматривать несколько сотен файлов и каталогов, состоящая из нескольких тысяч строк трудных для чтения скриптов. Какая боль! Очевидно, что поиск этой крыса гнездо для backdoors не является чем-то типичного человека мог бы сделать на постоянной основе. По этой причине вы должны использовать автоматический инструмент, которая предупреждает вас, если были внесены изменения в различные файлы конфигурации и сценариев, перечисленных в настоящем разделе.

Несколько популярных проверки целостности файлов доступны на коммерческой и безвозмездной основе в качестве Вашего цифрового служащих в достижении этой цели. Как и их коллегами Windows, которые мы обсуждали ранее, эти инструменты создать базу данных о том, что криптографические хэши действовать как цифровые отпечатки ваших важных системных файлов и периодически проверять состояние Вашей системы против него.

Огромное количество файлов проверки целостности средств для UNIX. В granddaddy из этих инструментов является уважаемой Tripwire, доступной на коммерческой так и на бесплатной основе UNIX на www.tripwire.com и www.tripwire.org, соответственно. Кроме того, свободные, с открытым исходным инструменты AIDE (www.cs.tut.fi/ Баба ~ / aide.html) и Osiris (http://osiris.shmoo.com/) выполняет аналогичные проверки.

в этой статье идет речь добавил Грег McKlein
Опровержение: Наш сайт не несет ответственности за информацию, содержащуюся в этой статье. Эта статья никоим образом не отражает взгляды, мнения, мысли или веры каталог статей сотрудников.

Перевод уведомления: В статье "Начало Backdoors Автоматически" был переведен с использованием автоматизированной службы перевода. Мы приносим извинения за любые ошибки перевода, что произошло. Спасибо за понимание.