后门本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。现今主要是指说靠着金钱利益关系,不通过正常途径获取的名利,具有华而不实,贬义的色彩。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
最早的后门是由系统开发人员为自己留下入口而安装的,而今天,并非开发人员将后门装入自己设计的程序中,而是大多数攻击者将后门装入他人开发和维护的系统中。通过使用这样的后门,攻击者可以很轻松地获得系统的访问权,进而获得系统的控制权。为了更加明确,我们给出后门的以下定义:
后门是一个允许攻击者绕过系统中常规安全控制机制的程序,它按照攻击者自己的意愿.提供通道
有许多不同类型的后门,但每种都可以绕过系统的常规性安全检测,使得攻击者获得进入系统的入口。例如:一个普通的用户可能不得不输入一个口令,这个口令每90天会变换一次。而有了后门攻击者可以用一个固定的口令而无需变换
有了植入系统的后门,攻击者可能根本不需要提供任何口令就可以登录到计算机。普通用户可能被迫使用某个特别的加密协议访问计算机,而攻击者可以利用后门访问那些使用完全不同协议的计算机。一旦安装了后门,攻击者如何访问该逻辑单元完全取决于攻击者自己。
许多人用特洛伊木马或者简单地用特洛伊来形容每个后门,这种将术语“后门”和特洛伊木马混淆的做法是非常错误的,应该尽量避免。后门只是简单地提供通道,而特洛伊木马将自己伪装成某个有用的程序,或者干脆将自己隐藏起来,不要将这些概念混为一谈。如果一个程序仅提供后门通道,那么它只是一个后门;如果可以伪装成一个有用的程序,那么它便是特洛伊木马。当然有的工具可以同时是后门和特洛伊木马。但是只有当攻击者企图将后门伪装成某个有用程序时,它才可以称为“特洛伊木马”。我们用特洛伊木马后门这一不太明确的概念定义这种工具,因为它们伪装成某个友善的程序同时还提供访问通道,利用这一完全定义将有助于人们理解后门与木马的区别。
主机上的后门来源主要有以下几种:
1,攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或文件,这些木马程序就会在主机上创建一个后门。
2,攻击者攻陷一台主机,获得其控制权后,在主机上建立后门,比如安装木马程序,以便下一次入侵时使用。
3,还有一种后门是软件开发过程中引入的。在软件的开发阶段,程序员常会在软件内创建后门以方便测试或者修改程序中的缺陷,但在软件发布时,后门被有意或者无意忽视了,没有被删除,那么这个软件天生就存在后门,安装该软件的主机就不可避免的引入了后门。
大多数入侵者的后门实现以下目的:
即使管理员通过改变所有密码之类的方法来提高安全性,仍然能再次侵入,使再次侵入被发现的可能性减至最低。
大多数后门设法躲过日志,大多数情况下即使入侵者正在使用系统也无法显示他已在线。
后门的引入无疑会形成重大安全风险。知道后门的人,日后可以对系统进行隐蔽的访问和控制,而且后门也容易被入侵者当成漏洞进行攻击。
