一、什么是计算机后门
计算机后门的定义
计算机后门是一种绕过安全性控制而获取对程序或系统访问权的程序或途径。它原本是开发者预留的,用于后期修改程序或系统中存在的问题,但如果被黑客恶意利用,就会成为计算机安全的一大威胁,黑客可借此轻易入侵目标计算机。
计算机后门的示例
特殊指令类:例如在手机拨号键盘上,正常可用于拨打电话,但连续输入*#06#,就进入特殊的处理程序显示当前手机序列号,这是系统作者故意留下的后门。登录程序类:如一个login程序,当输入特定的密码时,就能以管理员的权限来存取系统,这也属于后门。代码类:像网页后门,其实就是一段ASP或PHP代码,运行在服务器端,黑客可通过这些精心设计的代码在服务器端进行危险操作,获取敏感信息或提前获得服务器控制权。
计算机后门的分类
按技术分类
线程插入后门:利用系统自身的某个服务或者线程,将后门程序插入到其中。运行时没有进程,所有网络操作均插入到其他应用程序的进程中完成,查杀比较困难,功能较强大,例如小榕的BITS就是典范,它可在不知不觉中实现这种典型的线程插入后门,具有隐蔽性好、端口复用和正反向连接等特点,适用于wind200/xp/2003系统。扩展后门:在功能上有较大提升,比普通单一功能的后门有更强的实用性,本身相当于一个小的程序,能实现很多常见安全功能,但功能越强可能越脱离后门“隐蔽”的初衷,适合新手使用。C/S后门:采用“客户端/服务器”的控制方法,通过某种特定的访问方式来启动后门进而控制目标。虽然单独列为一类不太恰当,但rootkit的出现改变了后门程序的思维角度和使用理念,一个好的rootkit是很强的系统杀手。网页后门:主要是基于网页脚本的后门,例如ASP、PHP脚本等,黑客利用这些代码在服务器端进行危险操作。 按连接方式分类:有正向连接后门、反向连接后门等分类方式。
如何检测计算机后门
检测计算机后门是一个复杂的过程,需要结合多种方法和技术。以下是一些常见的检测方法和工具,可以帮助你识别和移除计算机中的后门程序。
1. 表现症状观察
首先,你可以通过观察计算机的行为来判断是否存在后门程序。一些常见的表现包括:
电脑经常死机文件打不开电脑经常报告内存不够提示硬盘空间不够软盘等设备未访问时出读写信号出现大量来历不明的文件电脑启动黑屏数据丢失系统运行速度慢系统自动执行操作。
2. 使用专业工具
为了更准确地检测后门程序,可以使用一些专业的后门检测工具。这些工具通常具备以下功能:
服务器后门检测:采用白名单检查方式,支持自定义正则表达式和白名单,能检测后门变种并进行网站初建时的安全配置。系统日志分析:通过对系统日志的分析,发现异常的登录和操作行为,如非正常的登录时间、非正常的登录地点等。网络流量监控:通过对网络流量进行实时监控和分析,及时发现异常流量和不正常的网络行为,如大量传输数据、频繁的连接操作等。
3. 定期进行全面的网络安全检查
系统漏洞扫描:通过使用专业的漏洞扫描工具对网络系统进行全面扫描,发现系统中存在的已知安全漏洞,并及时修复。使用专业的后门检测工具进行扫描和分析:通过使用专业的后门检测工具对系统进行全面扫描和分析,发现潜在的后门程序和恶意软件。
4. 关注异常行为
异常的网络行为:当发现网络流量异常突增、系统负载异常升高时,可能是后门程序在进行远程控制操作。需要及时对系统进行检测和清除。异常登录行为:当发现系统中存在异常的登录行为,如频繁的登录尝试、非正常的登录时间等,可能是后门程序在进行远程登录操作。需要及时调查和处理3。
5. 定期更新安全设备和软件
及时更新防火墙、入侵检测系统等安全设备的规则库,以及对系统软件进行及时的补丁更新,可以有效提高系统的安全性,减少后门程序的入侵风险。
推荐工具
RKHunter:一款检测例如rootkit、后门、漏洞等恶意程序的工具。网站后门检测工具:提供高效的检测能力,能够快速准确地检测网站是否存在后门,实时监控网站的异常活动。
通过以上方法和工具,你可以有效地检测和移除计算机中的后门程序,保护系统的安全。
三、计算机后门的防范措施
一、通用防范措施
安装防病毒软件:防病毒软件可以帮助检测和清除恶意软件和病毒,保护计算机安全。它能够识别包含后门程序的恶意软件,在其运行前进行拦截或者在发现后进行清除操作,这对于防范各种来源的后门威胁都有重要意义,包括可能隐藏在网页脚本或者软件中的后门代码等。定期更新软件
操作系统、应用程序等的开发商会不断发布更新程序,修复可能被后门利用的漏洞,增强安全性。例如,系统更新可以修复系统核心组件中的安全漏洞,避免后门程序利用这些漏洞进行非法操作。像Windows系统或者Linux系统的定期更新都能在很大程度上提升系统的安全性,防止后门的植入。对于一些网络服务相关的软件,如Web服务器软件、数据库管理软件等,更新也能及时修复软件自身的安全问题,减少被植入后门的风险。 不随意下载和打开未知来源的文件
未知来源的文件可能包含恶意代码,无论是来自不可信的网站、陌生人发送的电子邮件附件,还是不明来历的USB设备中的文件等。例如一些恶意的JavaScript或者HTML文件可能隐藏后门代码,一旦打开就可能在计算机上执行恶意操作,如收集用户信息、安装间谍软件等。在下载软件时,尽量从官方、正规的软件源进行下载,以确保所下载的软件是经过安全检测的,没有被植入后门等恶意程序。 定期备份重要数据
这可以避免因计算机遭受后门攻击,数据丢失或被篡改而造成损失。例如,在遭遇勒索软件类型的后门攻击(攻击者加密用户数据,要求支付赎金才能解密)时,如果有备份数据就可以恢复数据,而不必支付赎金。备份数据应该存储在与原计算机分离的设备上,如外部硬盘、云存储等,以防止在计算机被完全控制或者数据被破坏时备份数据也同时受损。 提高安全意识
不轻信陌生人的邮件、链接等,避免点击未知来源的链接或下载未知来源的文件。许多网络钓鱼攻击会通过看似正规的邮件或链接引导用户访问包含后门程序的恶意网站,提高警惕性可以减少陷入这类陷阱的风险。对于一些异常的系统提示或者行为保持警觉,例如突然出现的系统性能下降、网络连接异常等可能是后门程序在运行的迹象。
二、针对服务器防范后门植入的措施
网络安全方面
安装防火墙并及时更新规则:防火墙可以阻止未经授权的网络连接尝试,防止外部网络的攻击源植入后门到服务器。及时更新防火墙规则能够适应新的网络威胁形势,例如新出现的恶意IP地址或者网络攻击手段。例如,对于一个Web服务器,防火墙可以设置规则只允许来自特定端口(如80和443端口用于HTTP和HTTPS服务)的合法连接,阻止其他可疑的连接尝试。加密服务器的通信数据:特别是对于重要信息的传输,要采用更高级别的加密手段来保护数据。这可以防止数据在传输过程中被窃取或者篡改,避免攻击者通过篡改通信数据植入后门。例如使用SSL/TLS协议加密服务器与客户端之间的通信,确保数据的完整性和保密性。 系统安全方面
及时更新系统补丁:服务器操作系统常常会存在一些安全漏洞,这些漏洞可能被攻击者利用来植入后门。及时更新系统补丁能够修复这些漏洞,降低被攻击的风险。例如,微软会定期发布Windows Server系统的补丁,管理员应该及时安装这些补丁以保证服务器的安全。定期进行漏洞扫描和安全审计:通过漏洞扫描工具可以发现服务器系统中存在的安全隐患,如未被修复的漏洞、配置错误等可能被利用植入后门的情况。安全审计则可以对服务器的操作和访问进行记录和分析,及时发现异常操作。例如,可以使用Nessus等漏洞扫描工具定期对服务器进行扫描,检查是否存在安全风险。 访问控制方面
对服务器上的所有账号进行合理的权限配置:只有具有管理权限的人员才能对服务器进行操作。避免给予过多不必要的账号过高的权限,从而减少潜在的后门植入风险。例如,对于普通的文件读取操作,不应该给予普通用户修改系统文件的权限。定期更新密码,并采用复杂的密码策略:防止密码被破解从而避免非法用户利用合法账号植入后门。复杂的密码应包含字母、数字、特殊字符,并且有足够的长度。同时,定期更换密码能够增加攻击者破解密码的难度。记录并监控对服务器的访问日志:及时发现异常操作,并进行及时的处理。通过分析访问日志可以发现是否有异常的登录尝试、不寻常的文件访问或者系统操作等,例如某个账号在异常的时间进行了大量的系统文件访问,这可能是后门程序在运行或者攻击者正在试图植入后门的迹象。 应用安全方面
及时更新应用程序的补丁:服务器上通常安装了大量的应用程序,这些应用程序往往是黑客攻击的目标。及时更新应用程序的补丁可以修复存在的漏洞,防止通过应用程序漏洞植入后门。例如,服务器上安装的数据库管理系统(如MySQL、Oracle等)如果存在漏洞,攻击者可能利用这些漏洞植入后门,更新补丁可以避免这种情况发生。定期进行应用程序的安全审计:发现并处理存在的安全隐患,确保应用程序的安全配置正确,没有被恶意篡改或者存在后门风险。例如,检查应用程序的配置文件是否被修改,是否存在未授权的模块或者功能等。
三、针对特定域后门的防范措施
针对SkeletonKey域后门的防范措施
微软在2014年3月添加了LSA(LocalSecurityAuthority,本地安全机构)保护策略,用来防止对lsass.exe 进程的内存读取和代码注入。可以通过执行命令来开启或关闭LSA保护。开启LSA保护策略(regaddHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa/vRunAsPPL/tREG_DWORD/d1/f)后,即使已经获取了Debug权限也无法读取用户哈希值,更无法安装SkeletonKey。不过,Mimikatz可以绕过LSA保护,需要Minikatz项目中的mimidrv.sys 驱动文件,所以要注意防范Mimikatz这类工具的非法使用。 针对DSRM域后门的防范措施
对于DSRM域后门,要严格保护好DSRM账户的密码,避免密码被泄露和修改。网络管理员应该遵循安全的密码管理策略,定期更换密码,并且使用复杂、难以破解的密码。同时,要密切关注DSRM账户的登录行为,例如通过监控登录日志,发现异常的登录尝试及时进行处理。另外,限制DSRM账户的登录模式,避免将其设置为过于宽松的模式(如在任何情况下都可以登录域控的模式),减少被利用植入后门的风险。
四、黑客利用后门的常见手法
黑客利用计算机后门的常见手法主要包括以下几个方面:
将后门程序绑定某个通讯端口:如果没有架设防火墙,黑客可以通过计算机的某个通讯端口进行后门通讯。一旦后门程序绑定某个端口,黑客就能自由地与该计算机通讯,进而轻松控制计算机。
通过后门程序穿越防火墙:如果网络上架设了防火墙,黑客可以利用反向连接的技术进行通讯。黑客会修改后门程序来查找可用且没有保护的端口以进行通讯。这样一来,后门程序就能穿越防火墙和防护软件的封锁,连回黑客的指挥与控制(C&C)服务器。
后门程序检查可用的连接以传输文件:黑客通常还会利用后门程序来搜索可用的连接,以避开入侵检测系统的监测。一旦找到可用的连接,黑客就能通过后门程序临时连接到系统并进行其他恶意活动,比如传输文件。
后门程序通过社交网络连接到指挥与控制服务器:在这种情况下,黑客会让后门程序利用常见的社交网站。黑客会将指挥与控制的指令存储在某些博客页面或网络存储空间中,然后让后门程序连接到这些服务。
后门程序通过常见的网站服务与黑客通讯:有些后门程序会利用一些常见的通信服务协议来将信息回传给黑客。这种方式可以伪装成正常的网络流量,从而逃避检测。
利用网络系统漏洞进行攻击:许多网络系统都存在漏洞,这些漏洞可能是系统本身固有的,也可能是由于管理员的疏忽造成的。黑客利用这些漏洞可以完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以通过安装软件补丁来修复;管理员也需要仔细工作,尽量避免因疏忽而使他人有机可乘。
通过电子邮件进行攻击:当垃圾邮件的发送流量特别大时,可能会导致邮件系统对正常工作反应缓慢,甚至瘫痪。对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决。
解密攻击:黑客可以通过对网络上的数据进行监听来获取密码。虽然大多数系统在传输密码时都进行了加密处理,但黑客仍可能通过暴力破解等方法尝试解密。为了防止这种攻击,用户应设置复杂的密码,并避免使用个人信息作为密码。
后门软件攻击:这些后门软件分为服务器端和客户端,当黑客进行攻击时,会使用客户端程序登录到已安装好服务器端程序的电脑。这些服务器端程序通常很小,可能随附于某些软件上。用户在下载数据时,应在运行之前进行病毒扫描,并使用反编译软件检查数据中是否有可疑的应用程序,以防止后门软件的安装。
拒绝服务攻击:虽然这并不是典型的后门攻击,但黑客可以通过植入后门程序来发起拒绝服务攻击(DDoS),导致服务器无法处理正常的请求,从而瘫痪。这种攻击的破坏性很大,可以通过安装防火墙软件和使用隐藏IP地址的程序来降低受到攻击的可能性。