在攻克一个计算机系统之后,大多数攻击者都想要确保其它的入侵者被屏蔽在系统之外。毕竟,如果一个坏家伙控制了一台机器,他绝不希望其它人破坏自己的美梦,活着出点什么差错使得大家一起落网。当一个攻击者控制了系统,计算机其实就已经被攻击者所“0wned”(这里的“拥有”英文中使用的是“0wned”,注意第一个字符是数字“0”而不是字母“O”,读音虽然一样,但是这样看起来更COOL)。虽然实际上计算机是公司的财产,它确实在你面前的桌子上,但是它已经被攻击者拥有了。攻击者可以任意配置、安装各种软件。很多时候,远程的入侵者比坐在计算机前的用户更了解如何控制被入侵的计算机。 一个中等水平的攻击者在一台成功入侵的系统上要做的第一件事就是关闭安全漏洞,包括他们自己获得访问权的途径,然后安装一个后门程序。小孩子一般只想做一些简单的删除操作,这样他们就有了向别人吹嘘的资本,他们通常不会确保自己侵入的计算机屏蔽进一步的入侵。而比较有经验的攻击者获取系统的访问权之后,会马上强化这个系统,通过安装安全补丁以及关闭不必要的服务来保证系统免受其他攻击者的入侵。充满讽刺意味的是,攻击者现在扮演的是合法的系统管理员的角色来保护系统免受其他攻击者的入侵。这就是当你“0wned”了一台机器的控制权以后所要做的事情——你要强化这个系统的安全性,否则其他人会从你手中把控制权夺走。 另外,由于一个攻击者不希望其他同行或管理员通过后门程序来控制系统,有时后门程序的安全性控制甚至强于系统本身。例如,系统本身只需要用户ID和密码来获得访问权,攻击者则可能需要更强有力的加密认证如SSH来提供有力的公钥认证和信息加密。当攻击者使用SSH作为后门程序时,系统管理员可能会对神秘的突然开始运行的SSH服务产生怀疑,所以攻击者往往会配置SSH来改变它的默认侦听端口(TCP端口号22)。攻击者配置SSH在另一个端口进行侦听,只有使用攻击者自己的SSH密码才能进行认证和加密。
|