《UNIX系列系统入侵教程》之三

　　网络编程，一定离不开套接口；那什么是套接口呢？在Linux下，所有的I/O操作都是通过读写文件描述符而产生的，文件描述符是一个和打开的文件相关联的整数，这个文件并不只包括真正存储在磁盘上的文件，还包括一个网络连接、一个命名管道、一个终端等，而套接口就是系统进程和文件描述符通信的一种方法。目前最常用的套接口是字：字节流套接口(基于TCP)和数据报套接口(基于UDP)，当然还有原始套接口(原始套接口提供TCP套接口和UDP套接口所不提供的功能，如构造自己的TCP或UDP分组)等，我们这里主要介绍字节流套接口和数据报套接口。

　　要学习网络编程，一定离不开网络库的函数，在Linux系统下，可以用"man 函数名"来得到这个函数的帮助，不过为了照顾E文不大好的朋友，下面就将常用的网络函数和用法列出来供大家参考：

　　１、socket函数：为了执行网络输入输出，一个进程必须做的第一件事就是调用socket函数获得一个文件描述符。

---------------------------------------------------------------
#include 
int socket(int family,int type,int protocol); 
 返回：非负描述字－－－成功-1－－－失败 
---------------------------------------------------------------

　　 第一个参数指明了协议簇，目前支持5种协议簇，最常用的有AF_INET(IPv4协议)和AF_INET6(IPv6协议)；第二个参数指明套接口类型，有三种类型可选：SOCK_STREAM(字节流套接口)、SOCK_DGRAM(数据报套接口)和SOCK_RAW(原始套接口)；如果套接口类型不是原始套接口，那么第三个参数就为0。

　　２、connect函数：当用socket建立了套接口后，可以调用connect为这个套接字指明远程端的地址；如果是字节流套接口，connect就使用三次握手建立一个连接；如果是数据报套接口，connect仅指明远程端地址，而不向它发送任何数据。

---------------------------------------------------------------
#include 
int connect(int sockfd,const struct sockaddr * servaddr,
socklen_t addrlen);
返回：0－－－成功-1－－－失败 
---------------------------------------------------------------

　　 第一个参数是socket函数返回的套接口描述字；第二和第三个参数分别是一个指向套接口地址结构的指针和该结构的大小。

　　 这些地址结构的名字均已“sockaddr_”开头，并以对应每个协议族的唯一后缀结束。以IPv4套接口地址结构为例，它以“sockaddr_in”命名，定义在头文件；以下是结构体的内容：

---------------------------------------------------------------
struct in_addr { 
in_addr_t s_addr;/* IPv4地址 */
}; 
struct sockaddr_in { 
uint8_t sin_len; /* 无符号的8位整数 */
sa_family_t sin_family;
/* 套接口地址结构的地址簇，这里为AF_INET 
*/《UNIX系列系统入侵教程》之三 
------------------UNIX系统后门的安放和日志的擦除 

　　附件：HUCkit.zip

　　教程所需软件：HUCkit.zip（附件）

　　http://www.cnhonker.com/HUCkit.zip

　　一.后门的安放

　　当我们通过某种手段控制一个主机时，为了使自己能再次光顾这台计算机，我们通常在这个机器上留下后门，以便我们再次访问．一个做得好的后门，即使在入侵被管理员发现后，仍然能让你再次访问到主机．

　　本文的意旨是让你学会如何在完全控制系统后保留自己的根用户权限，下面介绍一下我常用的制作后门的手法，不会也不可能覆盖到所有可能的方法，请原谅．

　　1.Rhosts + + 后门

　　在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现.

　　例如：

# echo '+ + ' > /usr/bin/.rhosts 
# cat /usr/bin/.rhosts 
+ + 
# rlogin -l bin localhost 

　　将不用输入密码直接用bin帐号rlogin登陆进你的机器．

　　2.Login后门

　　在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露. 入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的.

　　一般的rootkit包里都有login后门程序．

　　3.服务进程后门

　　inetd 进程负责监听各个TCP和UDP端口的连接请求，并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单，基本形式如下：