Começando Backdoors Automaticamente

Share

|

Quando um atacante quebra em um sistema e instala um backdoor, ou ativam geralmente manualmente o programa backdoor. Entretanto, quando os registros do atacante fora de da seu máquina, ele ou ela forem não mais longos no controle direto do sistema. Assim, que mantem-se que o corredor backdoor em uma base cotidiana após o guy mau saiu? Suponha reboots pesky de um administrador de sistema o sistema, ou mais mau ainda, a máquina deixa de funcionar. Quando a caixa começa acima outra vez, o backdoor não estará funcionando mais, negando ao atacante his ou duro-lutou o acesso. Para remediar este interesse, o bandido crafty altera geralmente a máquina para reiniciar automaticamente o backdoor em uma base periódica, especial durante o processo do carregador do sistema. Nesta seção, nós discutiremos como os guys maus manipulam sistemas para se certificar automaticamente seus backdoors para reiniciar. Porque estes métodos dependem assim pesadamente do tipo do sistema, nós analisaremos mecanismos começando backdoor de Windows e de UNIX separada.

Ajustando acima Windows Backdoors para começar

As máquinas de Windows teeming com potencialidades automáticas diferentes do start-up do programa. Um atacante podia colocar o nome de um programa ou de um certificado executável em qualquer de uma variedade das posições para mandar o sistema operando-se automaticamente começar esse programa. Geralmente falando, as máquinas de Windows oferecem três tipos diferentes de mecanismos para o código malicioso (ou mesmo nonmalicious) automaticamente começando: um punhado de limas e de dobradores do autostart, um plethora de ajustes do registro, e tarefas programadas.

Alterando limas e dobradores startup

Deixe-nos começar por limas startup discutindo e a tabela de folders.The abaixo descreve diversas posições que ativarão automaticamente executables e certificados arbitrários em um sistema de Windows quando os eventos específicos ocorrem, como o carregador do sistema ou em um usuário dado que registra na máquina. Um atacante podia incluir o nome de um programa backdoor em alguns destes limas ou dobradores para começá-lo funcionar automaticamente no sistema de alvo.

Limas e dobradores startup de Windows

Nome da lima ou do dobrador	Como a lima ou o dobrador podem ser alterados para ativar automaticamente um backdoor
Dobradores Do Autostart	O atacante coloca-lhe o backdoor ou uma ligação nestes dobradores, que estão ativados na partida ou quando um usuário registrar sobre ao sistema. Em Win95/98/Me, um único dobrador prende estas informações, encontradas em C:\Windows\Start Menu\Programs\StartUp. Os sistemas WinNT/2000/XP/2003 incluem um dobrador do autostart, associado geralmente com "todos os usuários," as.well.as os dobradores individuais do autostart para usuários individuais, situados nas seguintes posições: WinNT— C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp Win2000— C:\Documents e Settings\[user_name]\Start Menu\Programs\StartUp e (se promovido de Windows NT) e C:\Winnt\Profiles\[user_name]\Start Menu\Programs\StartUp WinXP/2003— C:\Documents e Settings\[user_name]\Start Menu\Programs\Startup
Win.ini	Win.ini contem a informação sobre inicializar o sistema operando-se. Esta lima pode ser alterada para começar um backdoor em duas maneiras. Primeiramente, poderia diretamente executar um programa consultado na lima, usando o texto "run=[backdoor ]" ou "load=[backdoor ]". Em segundo, poderia associar algum sufixo (por exemplo, "doc" ou "htm") com um programa backdoor que funcionasse todas as vezes uma lima com tal sufixo fosse executado pelo sistema. Esta posição da lima varia, mas é encontrada tipicamente em: Win95/98/Me— C:\Windows\win.ini WinNT/2000— C:\Winnt\win.ini WinXP/2003— C:\Windows\win.ini
System.ini	Esta lima contem ajustes para a ferragem do sistema. Em Windows 3.X e em Windows 9X, esta lima suportou o "escudo =" o comando, que é usado especificar um escudo do usuário para se lançar no tempo do carregador do sistema. O escudo será o programa de relação principal que todos os usuários vêem quando carregam a máquina. Os atacantes modificam frequentemente a linha "shell=explorer.exe" de modo que, em vez de começar acima do GUI do explorador de Windows, o sistema executar um backdoor quando os carregadores do sistema. O backdoor então, por sua vez, começa o escudo do usuário real, que é geralmente explorer.exe. Em umas versões mais recentes de Windows (WinNT/2000/XP/2003), o sistema operando-se ignora o "escudo =" sintaxe em System.ini. Conseqüentemente, este método não é usado começar um backdoor nestes sistemas operando-se mais novos. Esta lima é ficada situada geralmente nos seguintes lugares: Win95/98/Me— C:\Windows\System.ini WinNT/2000— C:\Winnt\System.ini Windows XP/2003— C:\Windows\System.ini
Wininit.ini	Esta lima está criada por programas de instalação quando o software novo é instalado e alguma ação está requerida pelo sistema para terminar a instalação após o reboot. Para o exemplo, quando você instala um excitador novo da ferragem, seu instale o programa pôde fazê-lo recarregar o sistema. Porque o sistema está recarregando, uma entrada em Wininit.ini funcionará algum programa durante o processo do carregador. Alternativamente, esta lima pode ser usada roubar o nome de algum executável geralmente usado e atribui-lo a um backdoor. Quando é usada, a lima está encontrada geralmente em: Win95/98/Me— C:\Windows\wininit.ini WinNT/2000— C:\Winnt\wininit.ini Windows XP/2003— C:\Windows\Wininit.ini
Winstart.bat	Em uns sistemas mais velhos de Windows (vitória 9X), esta lima é usada normalmente começar programas velhos do MS-DOS em um ambiente de Windows. Um atacante podia incluir uma linha com a sintaxe "@[backdoor ]" para funcionar um executável e para escondê-lo do usuário. Se estiver atual, estará ficado tipicamente em C:\Winstart.bat.
Autoexec.bat	Esta lima é relevante somente em Windows 95/98 de sistema. É ignorada em Windows mim, NT, 2000, XP, e 2003. Para a compatibilidade inversa, suporta programas lançando-se por simplesmente including uma linha que consulte à lima do programa, tal como "C:\[backdoor ]". Se estiver atual, estará ficada tipicamente em C:\Autoexec.bat.
Config.sys	Esta lima é relevante somente em Windows 95/98 de sistema. É ignorada em Windows mim, NT, 2000, XP, e 2003. Esta lima carrega excitadores MS-DOS-baseados de baixo nível, e não é incluída em alguns sistemas de Windows. Poderia incluir uma linha para executar um backdoor. Se estiver atual, esta lima está ficada situada geralmente em C:\Config.sys.

Abusos Do Registro

Além das limas e dos dobradores, diversas chaves do registro podem ser abusadas com a finalidade automaticamente de ativar um backdoor. O registro é uma base de dados mammoth que abrigam a configuração detalhada do sistema operando-se de Windows e os vários programas que sejam instalados na caixa. Cada uma das chaves pode ser alterada usando o programa de Regedit.exe, um editor do registro construído em máquinas de Windows NT/2000/XP/2003. Se você planear experimentar com as algumas destas chaves, é extremamente importante que você faz um apoio de seu sistema antes de tweaking o registro. Se você alterasse acidentalmente alguma chave crítica em seu registro, você poderia completamente hose sua máquina, fazendo o unbootable. Assim, tenha por favor cuidado. As chaves críticas do registro para programas automaticamente começando são mostradas abaixo:

Chaves do registro que começam programas no início de uma sessão ou os recarregam

Chave Do Registro	Finalidade da chave
\CurrentVersion\RunServicesOnce de HKLM\SOFTWARE\Microsoft\Windows	Alguns programas são instalados ao funcionamento no fundo em uma máquina de Windows como um serviço, tal como o web server de IIS ou a lima e a cópia que compartilham de serviços. Esta chave do registro identifica que serviços devem ser começados durante o reboot seguinte e o reboot seguinte somente. Para todos os carregadores subseqüentes, os serviços não serão começados
\CurrentVersion\RunServices de HKLM\SOFTWARE\Microsoft\Windows	Esta chave do registro contem uma lista dos serviços a ser lançados em cada carregador do sistema.
\CurrentVersion\RunOnce de HKLM\SOFTWARE\Microsoft\Windows	Esta chave do registro identifica que programa (não serviços) deve ser começada durante o reboot seguinte e o reboot seguinte somente. Para todos os carregadores subseqüentes, os programas não serão executados.
\CurrentVersion\Run de HKLM\SOFTWARE\Microsoft\Windows	Estes programas são executados durante o carregador do sistema.
\CurrentVersion\RunOnceEx de HKLM\SOFTWARE\Microsoft\Windows	Somente disponível em Windows 98 e em mim, esta chave do registro indica os certificados e os programas que devem ser funcionados no tempo do carregador, mas não deve ser começada como processos separados. Para melhorar a eficiência, estes programas não são funcionados como processos separados, mas são invocados preferivelmente como linhas separadas dentro de vário outros processos do carregador.
\CurrentVersion\Winlogon\Userinit do NT De HKLM\SOFTWARE\Microsoft\Windows	Esta chave contiver os nomes dos programas a ser executados quando todos os registros do usuário no sistema. Indica tipicamente o GUI do usuário
\CurrentVersion\ShellServiceObjectDelayLoad de HKLM\SOFTWARE\Microsoft\Windows	Esta chave do registro ativa programas depois que o GUI de Windows começa acima, como a bandeja do sistema no canto right-hand inferior de Windows e de seus índices.
\Windows\System\Scripts de HKLM\SOFTWARE\Policies\Microsoft	Esta chave identifica os vários certificados que serão executados quando Windows carrega acima.
\CurrentVersion\Policies\Explorer\Run de HKLM\SOFTWARE\Microsoft\Windows	Os programas identificados por esta chave do registro estão começados quando o GUI do usuário (explorer.exe) é ativado.
\CurrentVersion\RunServicesOnce de HKCU\SOFTWARE\Microsoft\Windows	Esta chave do registro identifica que serviços devem ser começados a próxima vez um usuário registram sobre, uma vez somente. Para todos os inícios de uma sessão subseqüentes, os programas não serão executados.
\CurrentVersion\RunServices de HKCU\SOFTWARE\Microsoft\Windows	Estes serviços são registros todas as vezes começados de um usuário no sistema.
\CurrentVersion\RunOnce de HKCU\SOFTWARE\Microsoft\Windows	Estes programas forem ativados uma vez quando registros de um usuário no sistema.
\CurrentVersion\Run de HKCU\SOFTWARE\Microsoft\Windows	Estes programas são registros todas as vezes funcionados de um usuário na máquina.
\CurrentVersion\RunOnceEx de HKCU\SOFTWARE\Microsoft\Windows	Estes programas são executados sem começar um outro processo do sistema.
\CurrentVersion\Policies\Explorer\Run de HKCU\SOFTWARE\Microsoft\Windows	Estes programas são registros cada vez funcionados de um usuário no sistema.
\CurrentVersion\Windows\Run do NT De HKCU\SOFTWARE\Microsoft\Windows	Estes programas são registros cada vez funcionados de um usuário no sistema.
\CurrentVersion\Windows\Load do NT De HKCU\SOFTWARE\Microsoft\Windows	Estes programas são registros cada vez funcionados de um usuário no sistema.
\Windows\System\Scripts de HKCU\SOFTWARE\Policies\Microsoft	Estes certificados são registros todas as vezes ativados de um usuário na máquina.
HKCR\Exefiles\Shell\Open\Command	Esta chave indica que os programas que serão funcionados em qualquer altura que uma outra lima de EXE estão executados, uma ocorrência muito freqüente em uma máquina de Windows, para ser certos!

Whew! Aquela é uma lista longa, feia, mas é importante reconhecer que há um lote terrível dos lugares que um atacante poderia squirrel afastado o nome de algum backdoor terrìvel evil para o começar começou. Embora esta lista possa esgotar, não é exhaustive. As versões atuais e futuras da vontade de Windows têm provavelmente mesmo mais ajustes do registro para automaticamente começar o software, porque a complexidade de Windows cresce com cada remendo, liberação, e aplicação subseqüentes do sistema instalada.

Anote que alguns destes ajustes do registro começam com as letras HKLM e outros começam com HKCU. Em ambos os casos, o H está para o hive, uma referência a um pedaço do registro de Windows. HKLM está para a máquina local da chave do hive, e indica systemwide ajustes. HKCU está para o usuário atual da chave do hive, e identifica ajustes para a pessoa registrada atualmente na máquina de Windows. Na maioria das vezes, para começar acima dos programas e dos serviços, os ajustes de HKLM são executadas primeiramente, seguido pelos artigos de HKCU. Também, HKCR, que estão para classes da chave do hive enraizam, identificam os vários programas que são abertos por Windows sob eventos específicos. Fazendo matérias mais más, esta lista de componentes startup não é a única maneira começar automaticamente programas dentro de Windows. Nós ainda temos que fazer exame de um olhar no scheduler de tarefa.

Undermining o scheduler de tarefa

Um método popular final para automaticamente começar um backdoor em máquinas de Windows NT/2000/XP/2003 envolve programar uma tarefa funcionar no sistema. Usando o serviço do scheduler de tarefa, um atacante pode dizer o sistema para funcionar um programa específico em horas específicas, em datas específicas, ou quando determinados eventos ocorrem, como o início de uma sessão do carregador do sistema ou do usuário.

Você pode programar tarefas novas em seu sistema ou ver esses programados já usando o GUI programado das tarefas no painel de controle do sistema. Alternativamente, você poderia usar na comando-linha ferramenta em Windows NT, 2000, e XP ou os schtasks comandam em Windows.xp e em 2003 às tarefas da vista ou da programação. o GUI e a linha de comando mostram uma vista high-level dos programas programados para funcionar no sistema. O detalhe forneceu pelo no comando é útil. Para começar esse tipo da informação fora do GUI, você teria que estalar sobre as tarefas individuais mostradas no dobrador programado das tarefas. Uma coisa agradável sobre a vista do GUI é que inclui todas as tarefas invocadas pelo scheduler de tarefa, including ações tempo-baseado e do sistema do start-up. Observe que a tarefa com um número do ID de 2 inclui uma linha de comando para funcionar backdoor.exe. Gee, eu quero saber o que esse pôde fazer!

Defesas: Detectando Técnicas Começando Backdoor De Windows

Assim, os atacantes têm um grupo das maneiras ajustar acima um backdoor em Windows para funcionar por muito tempo depois que o guy mau saiu. Para impedir tais ataques, você necessita manter fora os guys maus de seu sistema no primeiro lugar. Uma prevenção pequena vai uma maneira longa em parar este tipo de ataque.

Entretanto, uniforme com as etapas preventivas as mais grandes, alguns atacantes pôde o achado imóvel uma maneira dentro. Assim, além da prevenção, como pode você detectar reconfigurar de um atacante de seu sistema para começar automaticamente um backdoor? Bem, você poderia manualmente verificar cada lima e dobrador cada chave do registro mostrada na tabela acima e as tarefas programadas ver se algo fishy fosse programado. Infelizmente, manualmente verificar todas estas possibilidades requererá os gobs do tempo frustrar gastados na isolação fria, só.

Feliz, há uma ferramenta livre agradável chamada AutoRuns que vem ao salvamento. Disponível em nenhuma carga dos povos finos em Sysinternals em www.sysinternals.com, este programa alista automaticamente todas as tarefas automaticamente começando em sua caixa de Windows NT/2000/XP, including dobradores startup, em limas, em ajustes do registro, e em tarefas programadas. A ferramenta de AutoRuns indica não somente muitos chaves, dobradores, e tarefas diferentes do registro do start-up distribuídas durante todo o sistema, mas mostra também os valores que foram ajustados a. Você pode ver o nome exato de cada programa, serviço, ou certificado que começa executado durante a partida para cada método. Aquela é uma lista acessível a ter, para a segurança e finalidades de pesquisa de defeitos. Usando AutoRuns, você não terá que escavar através de um grupo das chaves e dos dobradores do registro para ver que programas são executados durante o carregador do sistema. Toda a informação é coletada junto em um GUI agradável, que suporte mesmo automaticamente saltar a cada chave do dobrador ou do registro assim que você pode fàcilmente editar seu valor.

Eu sou certamente um ventilador grande de AutoRuns, mas tem uma limitação noteworthy quando usado encontrar vários backdoors automaticamente funcionando. AutoRuns faz exatamente o que anuncia: Mostra aqueles programas e certificados que são ativados quando o sistema começa acima ou usuários específicos entrar. Entretanto, com seu foco em eventos da partida e do início de uma sessão somente, AutoRuns não mostra nenhumas tarefas que forem programadas ao funcionamento baseado em épocas específicas do dia. Um atacante poderia programar um backdoor para reiniciar cada manhã em 3:00 A.M., e AutoRuns não o mostrará, porque é baseado na hora. Assim, se você confiar em AutoRuns para encontrar automaticamente começar backdoors, recorde que você ainda tem que verificar as tarefas programadas olhando no painel de controle programado das tarefas, funcionando no comando, ou se usando os schtasks comandam.

Adicionalmente, você poderia utilizar um programa verificando da integridade da lima para procurarar suas máquinas de Windows por todas as alterações de limas de sistema críticas e de chaves do registro. Estes programas contêm uma base de dados de impressões digitais boas sabidas de limas de sistema críticas e de valores do registro, including aqueles limas e diretórios associados com a iniciação da partida e do usuário de sistema. Quando uma mudança é detectada, a ferramenta alertá-lo-á que assim que você pode figurar para fora de quem fêz a mudança: um administrador de sistema que executa a manutenção padrão do sistema ou um atacante evil dobrou-se no domination do mundo. Após ter inicializado a ferramenta para criar a base de dados das impressões digitais, você pode programar o programa verificando da integridade da lima para funcionar em uma base regular, tal como cada dia ou mesmo cada hora. Quando funciona, a ferramenta verificará para ver se há alterações às limas que você a diz para prestar atenção. Quando encontra uma mudança a uma da partida ou as limas da iniciação do usuário descritas nesta seção, a seguir o administrador de sistema deve reconcile todas as mudanças com atividade legitimate recente do sistema. O verificador da integridade da lima age como um protetor de segurança humano, policiando seu sistema para mudanças desautorizadas.

Se o administrador instalar legitimately um remendo, tweaked o processo do carregador, ou alterar um ambiente de usuário, o alerta da ferramenta é meramente um alarme falso. Se não, um atacante pôde estar no prowl, modificando a configuração de sistema para começar acima um backdoor. Este processo do reconciliation não é para o fraco do coração. Requer bastante do esforço na peça de administrador de sistema, mas é distante mais fácil do que verificando a integridade de cada únicos lima e diretório pela mão. Os programas verificando da integridade numerosa da lima de Windows estão disponíveis, including a versão comercial de Tripwire, em www.tripwire.com. Infelizmente, a versão livre de Tripwire não suporta Windows. Diverso a outra integridade da lima que verifica ferramentas está disponível para Windows, including o monitor da integridade do sistema de GFI LANguard e a sentinela dos dados de Ionx.

Começando UNIX Backdoors

Certos, os muitos da oferta dos sistemas de Windows das maneiras começar automaticamente a executar programas, mas UNIX não são nenhum slouch tampouco. Certamente, os sistemas de UNIX são extremamente licentious em seu gosto para começar acima dos certificados e dos programas. Como com Windows, cada destas técnicas podia ser abusado para começar um backdoor. Em UNIX, as técnicas caem em diversas categorias, including a adição ou modificar dos certificados da iniciação de sistema, modificando a configuração do daemon do Internet (inetd), alterando um ambiente de usuário, e programando trabalhos.

Modificando os config do Uber-Processo: inittab

Quando um sistema de UNIX é carregado, funciona uma variedade de certificados e de programas da iniciação. O primeiro processo a funcionar em uma máquina de UNIX é o daemon do init, que ativa todos processos restantes necessitados durante o carregador do sistema. A lima /etc/inittab contem a um init do certificado dizendo o que outros processos ele devem começar. Um atacante poderia adicionar uma linha à lima do inittab que começa acima próprio backdoor do atacante como a parte da seqüência do carregador. A lima do inittab contem entradas com o formato [ id]:[rstate]:[action]:[process ], definido como segue:

• A identificação é um número original atribuído a esta entrada, apenas quatro caráteres que não devem ser usados para nenhuma outra entrada.

• O rstate é o nível do funcionamento que provocará a entrada. Quando você carrega um sistema de UNIX, você pode indicar um nível do funcionamento para identificar que nível dos serviços você requer quando o sistema começa acima. O nível do funcionamento pode ser ajustado para especificar o booting à modalidade single-user, que requer muito poucos serviços, ou a mudança à modalidade multiuser, que requer mais serviços.

• A ação especifica o que o init deve fazer com o programa particular, tal como reiniciar um processo se morrer, executar um processo uma vez, ou executá-lo cada vez que o sistema é carregado. Reiniciar um processo quando morre é comportamento realmente acessível para um programa backdoor.

• O campo process é onde as coisas começam interessantes. Indica um certificado de escudo específico que deva ser executado pelo init. Se um atacante usar o inittab começar um backdoor, o campo process consultará ao nome do programa backdoor próprio ou a um certificado usado começar o backdoor.

Modificando outros certificados da iniciação do sistema e do serviço

Em a maioria de sistemas de UNIX, a lima do inittab diz geralmente o init para funcionar uma série de certificados da iniciação do serviço para começar vários serviços funcionar em uma caixa. Em vez de alterar o inittab próprio, um atacante poderia também modificar estes vários certificados da iniciação do serviço, que começam serviços como httpd (um web server), sendmail (um mail server popular), e sshd (daemon seguro do escudo usado para o acesso remoto seguro). Dependendo de seu sabor particular de UNIX, estes prestam serviços de manutenção a certificados da iniciação são armazenados frequentemente nos diretórios de /etc/rc.d ou de /etc/init.d. Em um sistema típico de UNIX, há 20 ou mais tais certificados, cada 10 a 50 linhas long, fornecendo a terra fértil para plantar um backdoor. Um atacante poderia simplesmente adicionar um certificado backdoor a um destes diretórios, ou altere mesmo os certificados já-existentes para retroceder fora de um backdoor. Para o exemplo, eu poderia adicionar um serviço novo chamado httpb (anote o "b arrastando" para backdoor, que olha como o "httpd"), ou modifique mesmo o certificado já-existente que começa o httpd real de modo que ele primeiramente funcionamentos meu backdoor, e começa então seu web server.

Como um ataque final de encontro a seus certificados startup, um atacante poderia nivelar a planta justa um backdoor em uma lima da configuração que um dos certificados existentes da iniciação do serviço funcionasse como começa acima. Para o exemplo, se seu sistema usar sempre o ponto ao protocolo de ponto (PPP) para conexões dial-up do modem, a máquina tentará executar um certificado da configuração chamado /etc/ppp/ip-up.local. Na maioria das vezes, este certificado não é needed, assim que é geralmente em branco. Entretanto, eu poderia colocar o nome do meu backdoor nesta lima, e cada vez que você marca acima de usar seu modem, meu funcionamento backdoor nasty da vontade.

Ir após a configuração dos inetd

Além destes certificados startup variados, os atacantes também alteram freqüentemente a configuração de um processo particular usado extensamente suportar serviços de rede, a saber daemon do Internet (inetd, pronunciado "eu-rede-dee"). Em uma caixa de UNIX, o processo do inetd espera o tráfego da rede para uma variedade dos serviços, including o ftp, o telnet, e o outro. Quando o inetd recebe o tráfego pretendido para um destes serviços, funciona o usuário associado para segurar o tráfego se for configurarado para funcionar o serviço. Os atacantes poderiam modificar ou adicionar uma linha à lima da configuração do inetd, que é armazenada na lima de /etc/inetd.conf ou no diretório de /etc/xinetd.d, dependendo do sabor particular de UNIX. Modificando a configuração dos inetd, um atacante poderia dizer o inetd para funcionar um backdoor quando o tráfego específico chega para um porto particular do TCP ou do UDP. O inetd modificando para começar um backdoor é uma das técnicas backdoor as mais comuns no uso de encontro aos sistemas de UNIX hoje. Em nossa analogia incorporada da hierarquia, o inetd é um diretor, mas extremamente importante. Bribing este diretor poderia dar a um atacante o acesso remoto ao corporation, porque o inetd escuta na rede conexões.

Ajustando Certificados Da Partida Do Usuário

Quando um usuário entra a um sistema de UNIX ou funciona determinados comandos, o sistema ativa uma variedade dos certificados para inicializar o ambiente de usuário. Estes certificados deixaram usuários customize seu ambiente computando funcionando comandos específicos durante o início de uma sessão. As limas startup do usuário o mais comum são descritas na tabela abaixo. Um atacante poderia adicionar uma única linha que contem o nome de um backdoor a qualquer destes certificados para ativar isso backdoor quando o certificado é funcionado. Fazendo a matérias mais mau uniforme, estes certificados são dispersados durante todo os diretórios home dos usuários, assim como o diretório home para o cliente do superuser no sistema, raiz. Porque não são armazenados em uma única posição, os administradores podem ter o problema seguir abaixo o customization dos usuários individuais destas limas. Muitos destes certificados são 10 a 50 linhas longas, lotes outra vez oferecendo das opções para que um atacante sneak na ativação de um backdoor.

Os certificados comuns associaram com a ativação do início de uma sessão ou do programa do usuário

Nome Do Certificado Do Usuário	Programa associado que ativa o certificado e o uso típico
login	Os escudos do csh e do tcsh ativam este certificado quando um usuário entra.
cshrc	Os escudos do csh e do tcsh funcionam este certificado quando um escudo novo do comando é começado.
kshrc	O escudo do ksh funciona este certificado quando um escudo novo do comando é começado.
bashrc	O escudo do bash funciona este certificado quando um escudo novo do comando é começado.
bash_profile	O escudo do bash ativa este certificado quando um usuário entra.
/etc/profile	Quando todos os registros do usuário no sistema usando o sh ou bash escudos, este certificado são ativados.
profile	Depois que /etc/profile é funcionado durante o início de uma sessão do usuário com o sh ou bash escudos, a lima do profile de um usuário individual da extremidade está ativada.
logout	Os escudos do csh e do tcsh funcionam este certificado quando um usuário registra para fora.
xinitrc	O comando do startx que invoca o sistema da janela de X armazena sua informação do ambiente nesta lima (em sistemas de RedHat Linux, esta informação é armazenado também na lima dos Xclients).
xsession	O programa do xdm usa esta lima configurarar a sessão inicial da janela de X.

Trabalhos evil programando com Cron

Um método popular final para ativar um backdoor em UNIX envolve programar um trabalho que funcione o backdoor usando o daemon do cron. Cron trabalha rather como o scheduler de tarefa de Windows. Em determinadas horas predefinidas, o cron executa os certificados, que poderiam incluir backdoors. Cron é configurarado usando as limas do crontab, que são encontradas em /etc/crontab e em /etc/cron.d para trabalhos do administrador de sistema. Os usuários individuais podem também criar trabalhos programados no diretório de /etc/spool/cron. Adicionando uma única entrada a qualquer destas limas, um atacante podia programar um backdoor para começar em uma estadia específica, ou durante a iniciação de sistema. Assim, usando o cron, um atacante pode configurarar o sistema para começar acima o backdoor cada hora, se não estiver funcionando já. Essa maneira, se meu processo backdoor começar sempre matado por um administrador de sistema, por um reboot da máquina, ou por um ruído elétrico de sistema, eu terei que somente esperar um máximo de uma hora antes que a máquina o reinicie para mim.

Defesas: Detectando Técnicas Começando Backdoor de UNIX

Assim, adicionando acima de todas as áreas diferentes um atacante pode usar-se começar um backdoor, você pôde olhar diverso cem limas e os diretórios, consistindo em algumas mil linhas de difícil-à-leram certificados. Que dor! Claramente, procurarar o ninho deste rato por backdoors não é algo que um ser humano típico poderia fazer em uma base regular. Para esta razão, você deve usar uma ferramenta automatizada que alertas você quando as mudanças são feitas às vários limas e certificados da configuração alistados nesta seção.

Diversos programas verificando da integridade popular da lima estão disponíveis em uma base comercial e livre para agir como seus empregados digitais em realizar este objetivo. Como suas contrapartes de Windows que nós discutimos mais cedo, estas ferramentas críam uma base de dados de cryptographic hashes esse ato como impressões digitais digitais de suas limas de sistema críticas e verificam periòdicamente seu estado do sistema de encontro a ele.

Um número enorme da integridade da lima que verifica ferramentas está disponível para UNIX. O granddaddy destas ferramentas é o Tripwire venerable, disponível em uma base comercial e livre para UNIX em www.tripwire.com e em www.tripwire.org, respectivamente. Também, o AIDE das ferramentas da fonte (www.cs.tut.fi/~rammer/aide.html) eo Osirislivres, abertos (http://osiris.shmoo.com/) executam verificações similares.