史上最大膽又陰險!十二大軟體後門盤點

1Back OrificeD和SL數據機後門

    在資訊時代，要保護個人數據和隱私安全似乎正越來越變成一件艱難的事情。如果軟體的創造者或者一些未知的第三方已經悄悄在你的電腦裡埋下了後門軟體，要確保您正在使用的軟體是安全的，則更是難上加難。 

    下面我們就來盤點一下歷史上12大最大膽又艱難棘手、令人討厭的的軟體後門程序。

史上十二大軟體後門盤點（圖：163.com）

    1.Back Orifice

Back Orifice（來自InfoWorld）

    Back Orifice是一個用於揭示微軟Windows作業系統安全隱患的rootkit程序。這個軟體是由微軟的BackOffice產品而得名的。由一組被稱為cult of the Dead Cow的電腦黑客開發的，Back Orifice允許某些人在一臺電腦上控制另一臺運行Windows 95或其後的作業系統的電腦。當沒有任何防護時，Back Orifice能探測到密碼，記錄用戶的按鍵情況，進入到一個桌面文件系統或造成其他的破壞。

    它能象以黑客為目的的特洛伊木馬程序一樣被植入到用戶的電腦中，或作為網絡的遠程管理工具來使用。

　　2.DSL數據機存後門

DSL數據機存後門（來自2cto.com）

　　Vanderbeken指出，思科設備，Netgear，Diamond，LevelOne和OpenWAG設備都存在此後門。據HackerNews上的一個貼介紹，這些帶漏洞設備的一個共同點是，它們都是由Sercomm定製提供的。Vanderbeken在訪問自己的一個 Linksys WAG200G 設備時忘了密碼，他發現該設備在偵聽埠32764。此項偵聽埠服務在手冊文件裡並無提到，但有其他用戶提起過。他說他對設備固件的MIPS碼做逆向工程分析，找到一個方法無需管理員身份驗證即可向設備發命令。

　　利用窮舉(Brute-force)的方法，無需密碼將設備重置為出廠設置，即是說下一次登錄時，他便具有訪問設備任何功能的權限。

2PGP磁碟加密後門和Wordpress插件後門

    3.PGP磁碟加密後門

PGP磁碟加密後門（來自InfoWorld）

    這是一個不為人知的後門程序，PGP的整個磁碟加密，現在由賽門鐵克銷售，允許任意的靜態密碼被添加到一個加密卷的引導過程。 在2007年第一次面市，PGP回答說，其他的磁碟加密產品也有類似的功能，但其缺乏公共文檔的功能令人不安。

　　4.WordPress的盜版插件後門程序

WordPress的盜版插件後門程序（來自InfoWorld）

　　WordPress的可能是世界上最流行和強大的博客和內容管理系統之一，但其安全性還有很多有待改進的地方。2011年，WordPress團隊發現目前在WordPress流行的一些插件存在安全隱患，插件被惡意插入後門程序，以便獲取用戶的數據，主要是用戶的管理員密碼。

　　這些惡意後臺並非是插件作者有意作為，而是第三方的人在破解了插件作者的管理信息之後插入後門信息的。

3Joomla插件和ProFTPD後門

　　5.Joomla插件後門

Joomla插件後門（來自InfoWorld）

　　通過cookie向後門中傳遞惡意代碼已經成為趨勢，利用這種方式，黑客可以使用常規GET請求，這樣就不會在web服務日誌分析系統中產生任何可疑操作。

　　黑客不是僅僅將後門注入到某個插件中，而是安裝到某個已經打過補丁的插件裡，這樣看起不可疑，也不會破壞任何東西。這比修改網站中現有的文件要容易一些，因為修改網站現有文件時有時候可能會會破壞網站，因此需要更複雜的injector。

　　像Joomla這種包含上千個文件的系統，安全掃描器也可能無法識別這種不常見的後門。檢測這種後門唯一可靠的方法就是完整性控制，當檢測到文件被修改時提供向站長提供警報，使站長可以立即解決可能產生的問題。許多版本控制系統可以完成這種工作。

    6.ProFTPD後門

ProFTPD後門（來自InfoWorld）

　　流行的開源FTP伺服器ProFTPD在2010年發現被人在代碼中放了一個後門。 在安裝了包含有後門的ProFTPD伺服器版本後，攻擊者可以獲得系統控制權限，攻擊者的IP位址來自沙烏地阿拉伯地區。在該版本中，輸入命令「HELP ACIDBITCHEZ」會出現一個root shell。攻擊者利用了一個尚未修復的0day漏洞。受影響的版本是從11月28日到2日在官方鏡像下載的ProFTPD 1.3.3c。

4Borland的資料庫軟體和Linux內核後門

　　7.Borland的資料庫軟體後門

Borland的資料庫軟體後門（來自InfoWorld）

　　Borland公司的InterBase資料庫軟體中的一個「後門」使得任何擁有適當口令的人都可以對資料庫和運行資料庫的計算機系統實施嚴重的破壞行為。

　　計算機緊急反應小組在當地時間星期三發表的諮詢報告中稱，這一「後門」可以使黑客改變存儲在資料庫中的信息，甚至在計算機中運行造成更大破壞的程序。用戶名和口令寫在程序裡，很容易被發現，而且不能通過改變設置清除掉。

　　Borland公司承認存在這樣一個「後門」，並且已經開始發布補丁，並通知用戶和合作夥伴將於本周推出修改後的版本，這一漏洞存在於4、5、6版的InterBase中。

　　8.Linux內核後門

Linux內核後門（來自InfoWorld）

　　早在2003年，有人試圖向Linux內核插入一個微妙後門原始碼。該代碼被寫入到給一個後門，沒有外在標誌，被託管的伺服器入侵與Linux源相連的其他電腦。

　　只有兩行代碼被更改， 並有可能輕輕鬆鬆瞞過大多數的眼睛。幸運的是，後門代碼審計人員發現了。很多人認為這是一個炒作事件。

5Tcpdump後門和NSA植入後門

    9.Tcpdump後門

Tcpdump後門（來自InfoWorld）

    ACKcmd是提供Win2000下遠程命令Shell的一種後門，它使用TCP來傳輸，但是不同於一般正常的TCP連接有三次握手，ACKcmd僅使用了TCP ACK數據包，所以一般情況下可以穿越防火牆及躲避IDS的檢測。

    ACKcmd採用client/server結構，在目標機器上運行AckCmdS.exe植入後門，入侵者在客戶端運行命令AckCmdC <target ip>即可獲得一個遠程的Shell。

　　10.主流公司硬體被NSA植入後門

主流公司硬體被NSA植入後門（來自InfoWorld）

　　根據美國國家安全局的文件，美國國家安全局與中央情報局和聯邦調查局合作偷偷截運網售筆記本電腦或其他電子配件，以植入間諜軟體。惡意軟體加載後，可以給美國情報機構的遠程訪問權限。

　　雖然該文件並沒有明確表示該程序的公用或者國家安全局的竊聽目標，不過這是該機構第一次與廣泛的情報機構合作以獲得通信設備的訪問權限。其中一種惡意軟體的開發代號是COTTONMOUTH，於2009年開始使用。它是一個USB「硬體植入」程序，可以秘密提供國家安全局被感染機器的遠程訪問權。該程序被植入了大部分主流科技公司的硬體，為國安局提供後門。這些廠商包括思科、Juniper網絡公司、戴爾、希捷、威騰電子、邁拓、三星和華為，許多目標都是美國本土公司。

6NSA密鑰和雙橢圓曲線後門

　　11.NSA密鑰

NSA密鑰（來自InfoWorld）

　　NSA密鑰，是指1998年有人發現Windows作業系統中存在用途等詳情不清的第二把密鑰。1999年8月，加拿大Cryotonym公司首席科學家Andrew Fernandes宣布，他發現這第二把密鑰叫做NSAkey，而NSA就是美國國家安全局的簡稱，也就是說，微軟公司在每一份Windows作業系統中都安裝了一個程序上的「後門」，專供NSA在需要時進入全世界Windows用戶的電腦。

　　12.雙橢圓曲線確定性隨機比特生成器後門

雙橢圓曲線確定性隨機比特生成器後門（來自InfoWorld）

　　雙橢圓曲線確定性隨機比特生成器（dual elliptic curve deterministic random bit generator，縮寫Dual_EC_DRBG）被廣泛認為被 NSA 植入了後門，它獲得了美國國家標準技術研究院的認可，並成為安全公司 RSA 加密產 品默認使用的偽隨機數生成器。比利時計算機科學專家 Aris Adamantiadis 發表了 Dual_EC_DRBG後門的概念驗證研究報告，認為 Dual_EC_DRBG 的後門是被有意植入的，指出 Dual_EC_DRBG 使用了一個秘密的值去計算一個橢圓曲線點常量，他並不知道這個秘密值，認為可能只有 NSA 能利用這個後門。