rnjb后门
Uni上的rnjb可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1A到A之间运行,那么每晚有一个时可以获得访问。也可以查看rnjb中经常运行的合法程序,同时置入后门。
库后门
几乎所有的UNI系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象ryp.和_ryp.这些函数里作了后门;象lgin.这样的程序调用了ryp()。当使用后门口令时产生一个shell。因此,即使管理员用D5检查lgin程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来有一个问题:一些管理员对所有东西多作了D5校验,有一种办法是入侵者对pen()和文件访问函数做后门。后门函数读原文件但执行rjan后门程序。所以当D5读这些文件时,校验和一切正常,但当系统运行时将执行rjan版本的,即使rjan库本身也可躲过D5校验,对于管理员来有一种方法可以找到后门,就是静态编连D5校验程序然后运行,静态连接程序不会使用rjan共享库。
内核后门
内核是Uni工作的核心,用于库躲过D5校验的方法同样适用于内核级别,甚至连静态连接多不能识别。一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的后门程序还不是随手可得,每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括epli脚本工具,后门集,sniffer日志,eail的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsk"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞:以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来,很难发现这些"坏扇区"里的文件系统,而它又确实存在。
B块后门
在P世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Uni下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。
PShell后门
入侵者可能在防火墙没有阻塞的高位P端口建立这些PShell后门.许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用nesa命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。通常这些后门可以让入侵者躲过Prapper技术。这些后门可以放在**P端口,许多防火墙允许e-ail通行的.
UDPShell后门
管理员经常注意P连接并观察其怪异情况,而UDPShell后门没有这样的连接,所以nesa不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDPShell放置在这个端口,允许穿越防火墙。
IPShell后门
Ping是通过发送和接受IP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的IP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了。