嗅探欺骗,最危险的后门
这类后门是攻击者在控制了主机之后,并不创建新的帐户而是在主机上安装嗅探工具窃取管理员的密码。由于此类后门,并不创建新的帐户而是通过嗅探获取的管理员密码登录系统,因此隐蔽性极高,如果管理员安全意识不高并缺少足够的安全技能的话是根本发现不了的。
(1)安装嗅探工具
攻击者将相应的嗅探工具上传或者下载到服务器,然后安装即可。需要说明的是这些嗅探工具一般体积很小并且功能单一,但是往往被做成驱动形式的,所以隐蔽性极高,很难发现也不宜清除。
(2)获取管理员密码
嗅探工具对系统进行实施监控,当管理员登录服务器时其密码也就被窃取,然后嗅探工具会将管理员密码保存到一个txt文件中。当攻击者下一次登录服务器后,就可以打开该txt文件获取管理员密码。此后他登录服务器就再不用重新创建帐户而是直接用合法的管理员帐户登录服务器。如果服务器是一个Web,攻击者就会将该txt文件放置到某个web目录下,然后在本地就可以浏览查看该文件了。(图1)
(3)防范措施
嗅探后门攻击者以正常的管理员帐户登录系统,因此很难发现,不过任何入侵都会留下蛛丝马迹,我们可以启用组策略中的“审核策略”使其对用户的登录情况进行记录,然后通过事件查看器查看是否有可疑时间的非法登录。不过,一个高明的攻击者他们会删除或者修改系统日志,因此最彻底的措施是清除安装在系统中的嗅探工具,然后更改管理员密码。
【编辑推荐】