Back Orifice(來自InfoWorld)

Back Orifice是一個用于揭示微軟Windows操作系統(tǒng)安全隱患的rootkit程序。這個軟件是由微軟的BackOffice產(chǎn)品而得名的。由一組被稱為cult of the Dead Cow的電腦黑客開發(fā)的，Back Orifice允許某些人在一臺電腦上控制另一臺運行Windows 95或其后的操作系統(tǒng)的電腦。當(dāng)沒有任何防護(hù)時，Back Orifice能探測到密碼，記錄用戶的按鍵情況，進(jìn)入到一個桌面文件系統(tǒng)或造成其他的破壞。

它能象以黑客為目的的特洛伊木馬程序一樣被植入到用戶的電腦中，或作為網(wǎng)絡(luò)的遠(yuǎn)程管理工具來使用。

2.　　DSL調(diào)制解調(diào)器存后門

DSL調(diào)制解調(diào)器存后門(來自 2cto.com)

Vanderbeken指出，思科設(shè)備，Netgear，Diamond，LevelOne和OpenWAG設(shè)備都存在此后門。據(jù) HackerNews上的一個貼介紹，這些帶漏洞設(shè)備的一個共同點是，它們都是由Sercomm定制提供的。Vanderbeken在訪問自己的一個 Linksys WAG200G 設(shè)備時忘了密碼，他發(fā)現(xiàn)該設(shè)備在偵聽端口32764。此項偵聽端口服務(wù)在手冊文件里并無提到，但有其他用戶提起過。他說他對設(shè)備固件的MIPS碼做逆向工程分析，找到一個方法無需管理員身份驗證即可向設(shè)備發(fā)命令。

利用窮舉(Brute-force)的方法，無需密碼將設(shè)備重置為出廠設(shè)置，即是說下一次登錄時，他便具有訪問設(shè)備任何功能的權(quán)限。

3.PGP 磁盤加密后門

PGP磁盤加密后門(來自 InfoWorld)

這是一個不為人知的后門程序，PGP的整個磁盤加密，現(xiàn)在由賽門鐵克銷售，允許任意的靜態(tài)密碼被添加到一個加密卷的引導(dǎo)過程。 在2007年第一次面市，PGP回答說，其他的磁盤加密產(chǎn)品也有類似的功能，但其缺乏公共文檔的功能令人不安。

4.WordPress 的盜版插件后門程序

WordPress的盜版插件后門程序(來自 InfoWorld)

WordPress的可能是世界上最流行和強(qiáng)大的博客和內(nèi)容管理系統(tǒng)之一，但其安全性還有很多有待改進(jìn)的地方。2011年，WordPress團(tuán)隊發(fā)現(xiàn)目前在 WordPress流行的一些插件存在安全隱患，插件被惡意插入后門程序，以便獲取用戶的數(shù)據(jù)，主要是用戶的管理員密碼。

這些惡意后臺并非是插件作者有意作為，而是第三方的人在破解了插件作者的管理信息之后插入后門信息的。

5.Joomla 插件后門

Joomla插件后門(來自 InfoWorld)

通過cookie向后門中傳遞惡意代碼已經(jīng)成為趨勢，利用這種方式，黑客可以使用常規(guī)GET請求，這樣就不會在web服務(wù)日志分析系統(tǒng)中產(chǎn)生任何可疑操作。

黑客不是僅僅將后門注入到某個插件中，而是安裝到某個已經(jīng)打過補(bǔ)丁的插件里，這樣看起不可疑，也不會破壞任何東西。這比修改網(wǎng)站中現(xiàn)有的文件要容易一些，因為修改網(wǎng)站現(xiàn)有文件時有時候可能會會破壞網(wǎng)站，因此需要更復(fù)雜的injector。

像Joomla這種包含上千個文件的系統(tǒng)，安全掃描器也可能無法識別這種不常見的后門。檢測這種后門唯一可靠的方法就是完整性控制，當(dāng)檢測到文件被修改時提供向站長提供警報，使站長可以立即解決可能產(chǎn)生的問題。許多版本控制系統(tǒng)可以完成這種工作。

6.ProFTPD 后門

ProFTPD后門(來自 InfoWorld)

流行的開源FTP服務(wù)器ProFTPD在2010年發(fā)現(xiàn)被人在代碼中放了一個后門。 在安裝了包含有后門的ProFTPD服務(wù)器版本后，攻擊者可以獲得系統(tǒng)控制權(quán)限，攻擊者的IP地址來自沙特阿拉伯地區(qū)。在該版本中，輸入命令“HELP ACIDBITCHEZ”會出現(xiàn)一個root shell。攻擊者利用了一個尚未修復(fù)的0day漏洞。受影響的版本是從11月28日到2日在官方鏡像下載的ProFTPD 1.3.3c。

7.Borland 的數(shù)據(jù)庫軟件后門

Borland的數(shù)據(jù)庫軟件后門(來自 InfoWorld)

Borland公司的InterBase數(shù)據(jù)庫軟件中的一個“后門”使得任何擁有適當(dāng)口令的人都可以對數(shù)據(jù)庫和運行數(shù)據(jù)庫的計算機(jī)系統(tǒng)實施嚴(yán)重的破壞行為。

計算機(jī)緊急反應(yīng)小組在當(dāng)?shù)貢r間星期三發(fā)表的咨詢報告中稱，這一“后門”可以使黑客改變存儲在數(shù)據(jù)庫中的信息，甚至在計算機(jī)中運行造成更大破壞的程序。用戶名和口令寫在程序里，很容易被發(fā)現(xiàn)，而且不能通過改變設(shè)置清除掉。

Borland公司承認(rèn)存在這樣一個“后門”，并且已經(jīng)開始發(fā)布補(bǔ)丁，并通知用戶和合作伙伴將于本周推出修改后的版本，這一漏洞存在于4、5、 6版的InterBase中。

8.Linux內(nèi)核后門

Linux內(nèi)核后門(來自 InfoWorld)

早在2003年，有人試圖向Linux內(nèi)核插入一個微妙后門源代碼。該代碼被寫入到給一個后門，沒有外在標(biāo)志，被托管的服務(wù)器入侵與Linux 源相連的其他電腦。

只有兩行代碼被更改， 并有可能輕輕松松瞞過大多數(shù)的眼睛。幸運的是，后門代碼審計人員發(fā)現(xiàn)了。很多人認(rèn)為這是一個炒作事件。

9.Tcpdump后門

Tcpdump后門(來自 InfoWorld)

ACKcmd是提供Win2000下遠(yuǎn)程命令Shell的一種后門，它使用TCP來傳輸，但是不同于一般正常的TCP連接有三次握手，ACKcmd僅使用了TCP ACK數(shù)據(jù)包，所以一般情況下可以穿越防火墻及躲避IDS的檢測。

ACKcmd采用client/server結(jié)構(gòu)，在目標(biāo)機(jī)器上運行AckCmdS.exe植入后門，入侵者在客戶端運行命令A(yù)ckCmdC 即可獲得一個遠(yuǎn)程的Shell。

10.主流公司硬件被NSA植入后門

主流公司硬件被NSA植入后門(來自 InfoWorld)

根據(jù)美國國家安全局的文件，美國國家安全局與中央情報局和聯(lián)邦調(diào)查局合作偷偷截運網(wǎng)售筆記本電腦或其他電子配件，以植入間諜軟件。惡意軟件加載后，可以給美國情報機(jī)構(gòu)的遠(yuǎn)程訪問權(quán)限。

雖然該文件并沒有明確表示該程序的公用或者國家安全局的竊聽目標(biāo)，不過這是該機(jī)構(gòu)第一次與廣泛的情報機(jī)構(gòu)合作以獲得通信設(shè)備的訪問權(quán)限。其中一種惡意軟件的開發(fā)代號是COTTONMOUTH，于2009年開始使用。它是一個USB“硬件植入”程序，可以秘密提供國家安全局被感染機(jī)器的遠(yuǎn)程訪問權(quán)。該程序被植入了大部分主流科技公司的硬件，為國安局提供后門。這些廠商包括思科、Juniper網(wǎng)絡(luò)公司、戴爾、希捷、西部數(shù)據(jù)、邁拓、三星和華為，許多目標(biāo)都是美國本土公司。

11.NSA密鑰

NSA密鑰(來自InfoWorld)

NSA密鑰，是指1998年有人發(fā)現(xiàn)Windows操作系統(tǒng)中存在用途等詳情不清的第二把密鑰。1999年8月，加拿大Cryotonym 公司首席科學(xué)家Andrew Fernandes宣布，他發(fā)現(xiàn)這第二把密鑰叫做NSAkey，而NSA就是美國國家安全局的簡稱，也就是說，微軟公司在每一份Windows操作系統(tǒng)中都安裝了一個程序上的“后門”，專供NSA在需要時進(jìn)入全世界Windows用戶的電腦。

12.雙橢圓曲線確定性隨機(jī)比特生成器后門

雙橢圓曲線確定性隨機(jī)比特生成器后門(來自 InfoWorld)

雙橢圓曲線確定性隨機(jī)比特生成器(dual elliptic curve deterministic random bit generator，縮寫Dual_EC_DRBG)被廣泛認(rèn)為被 NSA 植入了后門，它獲得了美國國家標(biāo)準(zhǔn)技術(shù)研究院的認(rèn)可，并成為安全公司 RSA 加密產(chǎn) 品默認(rèn)使用的偽隨機(jī)數(shù)生成器。比利時計算機(jī)科學(xué)專家 Aris Adamantiadis 發(fā)表了 Dual_EC_DRBG后門的概念驗證研究報告，認(rèn)為 Dual_EC_DRBG 的后門是被有意植入的，指出 Dual_EC_DRBG 使用了一個秘密的值去計算一個橢圓曲線點常量，他并不知道這個秘密值，認(rèn)為可能只有 NSA 能利用這個后門。

zhoujianding