连接实例:
|
内部主机(SLAVE) 的GET就是SHELL的命令的提示,应答是来自外部攻击者服务器(MASTER)的已加密的“ls”命令。
一些暗机关:
SLAVE在每天特定的时候试着连接MASTER;
产生子进程---因为若不管什么原因SHELL挂起了,您能在第二天检查并修复他;
假如一个管理员看到了通向攻击者的连接并且他自己连到攻击者的服务器上,他将看到一个“破WEB服务器”因为他在CGI请求中只能看到一些符号(Password);
支持WWW代理;
程式屏蔽他在进程列表中的名字。
首先,master和slave程式都是个260行的perl文档...用这个东西: 修改rwwwshell.pl中的相应值,在SLAVE机上执行 "rwwwshell.pl slave" ,并且在SLAVE要连接之前在MASTER机上运行"rwwwshell.pl" 。
为什么用PERL编他?
A)快!
B)移植性好
C)我喜欢
假如您想在一台机器上运行,但他没有安装PERL,找一个类似的安装PERL的机器,从perl CPAN 文档中找A3编译器并把他编译成二进制文档。把他传到目标主机并且执行他。
安全
现在有一个有趣的问题:怎样让防火墙拒绝/检测到他。我很清楚您需要一个有严格策略的牢固的应用网关级防火墙。email放在集中的的email服务器上,DNS只响应WWW/FTP代理请求。但是,这还不够。一个攻击者能窜改邮件头并执行X-Headers中的已加密的命令或使HTTP证实变成相反的WWW-SHELL(这很简单)。有规律地用有效的工具检查DNS WWW日志/缓冲也可能失败——每3~20调用后交换外部服务器或使用别名。
一个安全的解决方法是建立一个备用网络并连接到internet上,并且真正的网络和他保持分离--但是告诉职员。一个好的防火墙要改进许多,一个IDS(Intrusion Detection Systems )也能够给您帮助。但是没有什么能阻挡一个专注的攻击者。
