درهای پشتی چیست و چگونه آنها را حذف کنیم. درب پشتی برای یک هکر به رایانه شما - جاسوس افزار BackDoor چگونه درهای پشتی گسترش می یابند

Backdoorme - ابزاری برای ایجاد خودکار درهای پشتی

Backdoorme یک ابزار قدرتمند است که می تواند درب های پشتی زیادی را در ماشین های یونیکس ایجاد کند. Backdoorme از رابط metasploit آشنا با قابلیت توسعه شگفت انگیز استفاده می کند. Backdoorme برای انتقال و سوء استفاده از هر درب پشتی به اتصال SSH یا اعتبارنامه های موجود قربانی متکی است. لطفاً از Backdoorme با مجوز باز استفاده کنید.

از مهمانان پنهان شده است

​

Backdoorme بلافاصله با تعدادی درب پشتی داخلی، ماژول ها و ماژول های کمکی همراه می شود. درهای پشتی اجزای خاصی برای ایجاد و استقرار درب پشتی مورد نیاز هستند، مانند درب پشتی netcat یا درب پشتی msfvenom. ماژول ها را می توان برای هر درب پشتی اعمال کرد و برای قدرتمندتر کردن، پنهان کردن یا غیرفعال کردن درهای پشتی استفاده می شود. کمکی ها عملیات مفیدی هستند که می توانند برای کمک به حفظ پایداری انجام شوند.

کمی بیشتر در مورد درهای پشتی:برای اجرای Backdoorme، مطمئن شوید که وابستگی های لازم را دارید.

$python dependencies.py

راه اندازی Backdoorme:

$pythonmaster.py

درهای پشتی

برای استفاده از درب پشتی، به سادگی کلمه کلیدی "use" را اجرا کنید.

>> استفاده از shell/metasploit + استفاده از هدف فعلی 1. + استفاده از Metasploit backdoor... (msf) >>

از آنجا می توانید گزینه های متناسب با درب پشتی را تنظیم کنید. برای مشاهده لیستی از گزینه های قابل پیکربندی، «show options» یا «help» را اجرا کنید.

مانند متاسپلویت، درهای پشتی به دسته بندی سازماندهی می شوند.

• کمکی
  • کی لاگر– یک کی لاگر به سیستم اضافه می کند و امکان ارسال مجدد نتایج از طریق پست را در اختیار شما قرار می دهد.
  • سادهhttp– سرور پایتون SimpleHTTP را روی کلاینت نصب می کند.
  • کاربر- یک کاربر جدید به هدف اضافه می کند.
  • وب– سرور آپاچی را روی کلاینت نصب می کند.
• تشدید
  • سست– درپشتی SetUID با تنظیم بیت setuid روی فایل اجرایی کار می کند که به این معنی است که کاربر دسترسی root دارد. بنابراین، زمانی که این فایل اجرایی بعدا توسط کاربری که دسترسی روت ندارد اجرا شود، فایل با دسترسی ریشه اجرا می شود. به طور پیش‌فرض، این درب پشتی بیت setuid را به nano تغییر می‌دهد، به طوری که اگر دسترسی ریشه به نحوی از بین برود، مهاجم می‌تواند به عنوان یک کاربر غیرمجاز دوباره به SSH وارد شود و همچنان بتواند nano (یا هر باینری انتخابی) را به‌عنوان ریشه اجرا کند. ("nano /etc/shadow"). لطفاً توجه داشته باشید که برای استقرار این افزونه درب پشتی، در همان ابتدا به دسترسی روت نیاز است.
  • پوسته– درب پشتی پوسته یک افزونه درب پشتی ممتاز است، مشابه (اما خاص تر) خواهر و برادر داخلی آن SetUID. پوسته bash را در یک باینری پنهان کپی می کند و بیت SUID را تنظیم می کند. لطفاً توجه داشته باشید که برای استقرار این افزونه درب پشتی در ابتدا به دسترسی روت نیاز است. برای استفاده از این درب پشتی در حین SSH به عنوان یک کاربر غیرمجاز، به سادگی ".bash -p" را اجرا کنید و دسترسی روت خواهید داشت.
• پوسته (دسته پوسته)
  • ضربه شدید- از یک اسکریپت bash ساده برای اتصال به یک ترکیب ip و پورت خاص و ارسال نتیجه به bash استفاده می کند.
  • bash2- یک درب پشتی bash کمی متفاوت (و ایمن تر) که در بالا توضیح داده شد، که نیازی به رمز عبور در سمت مشتری ندارد.
  • متاسپلویت– از msfvenom برای ایجاد یک باینری reverse_tcp روی هدف استفاده می کند، سپس باینری را برای اتصال به پوسته مترپرتر اجرا می کند.
  • نت کت- از netcat برای ارسال ورودی و خروجی استاندارد به /bin/sh استفاده می کند و پوسته تعاملی را در اختیار کاربر قرار می دهد.
  • netcat_traditional- از -e netcat-traditional برای ایجاد پوسته معکوس استفاده می کند.
  • پرل- یک اسکریپت نوشته شده در perl که نتیجه را به bash هدایت می کند و نام فرآیند را تغییر می دهد تا کمتر قابل توجه به نظر برسد.
  • php– یک درب پشتی php راه اندازی می کند که نتیجه را به bash می فرستد. به طور خودکار یک وب سرور را نصب نمی کند، بلکه از یک ماژول وب استفاده می کند.
  • توله سگ- از درب پشتی n1nj4sec Pupy استفاده می کند که در قرار دارد

    از مهمانان پنهان شده است

    .
  • پایتون- از یک اسکریپت کوتاه پایتون برای اجرای دستورات و ارسال نتایج به کاربر استفاده می کند.
  • وب– وب سرور را به هدف ارسال می کند، سپس درب پشتی msfvenom php reverse_tcp را دانلود می کند و به هاست متصل می شود. اگرچه این هنوز یک درپشتی php است، اما با درب پشتی php که در بالا توضیح داده شد یکسان نیست.
• دسترسی داشته باشید
  • remove_ssh– سرور ssh روی کلاینت را حذف می کند. استفاده از آن در پایان یک جلسه پشتی برای حذف هر گونه ردی بسیار راحت است.
  • ssh_key- یک کلید RSA ایجاد می کند و آن را برای اتصال بدون رمز عبور ssh در هدف کپی می کند.
  • ssh_port– یک پورت جدید برای ssh اضافه می کند.
• ویندوز (دسته ویندوز)
  • پنجره ها– از msfvenom برای ایجاد درب پشتی ویندوز استفاده می کند.

ماژول ها

هر درب پشتی قابلیت دریافت ماژول های اضافی را دارد که برای قدرتمندتر کردن درب پشتی استفاده می شود. برای اضافه کردن یک ماژول، به سادگی از کلمه کلیدی "افزودن" استفاده کنید.

(MSF) >> اضافه کردن سم + ماژول سم اضافه شد

هر ماژول دارای گزینه های اضافی است که می توان آنها را پیکربندی کرد و اگر دوباره "help" را اجرا کنید، می توانید هر گزینه اضافی را ببینید یا تنظیم کنید.

ماژول های موجود در حال حاضر عبارتند از:

• سم
  • مسمومیت bin را بر روی کامپیوتر مورد نظر انجام می دهد - یک فایل اجرایی را برای فراخوانی یک ابزار سیستم و یک درب پشتی موجود کامپایل می کند.
  • به عنوان مثال، اگر ماژول bin Poisoning در کنار "ls" اجرا شود، یک باینری به نام "ls" را کامپایل و پورت می کند که هم درب پشتی موجود و هم "ls" اصلی را اجرا می کند، بنابراین کاربر نمی تواند درب پشتی را بیشتر اجرا کند. .
• کرون
  • یک درب پشتی موجود را به crontab کاربر اصلی اضافه می کند تا در فرکانس مشخص اجرا شود.
• وب
  • یک وب سرور نصب می کند و یک صفحه وب را میزبانی می کند که درب پشتی را راه اندازی می کند.
  • به سادگی به سایتی با شنونده باز رفته و درب پشتی راه اندازی می شود.
• کاربر
  • کاربر جدیدی را به هدف اضافه می کند.
• استارت آپ
  • به شما امکان می دهد با فایل های bashrc و init درهای پشتی ایجاد کنید.
• لیست سفید
  • IP را در لیست سفید قرار می دهد تا فقط این IP بتواند به Backdoor متصل شود.

ترجمه:

به طور کلی، درهای پشتی تروجان ها، ویروس ها، کی لاگرها، جاسوس افزارها و ابزارهای مدیریت از راه دور خاص هستند. آنها به همان روشی کار می کنند که برنامه های ویروسی ذکر شده انجام می دهند. با این حال، عملکردها و بارهای آنها پیچیده تر و خطرناک تر است، به همین دلیل است که آنها در یک دسته خاص گروه بندی می شوند.

درهای پشتی چگونه توزیع می شوند؟

این عفونت کامپیوتری چه خطراتی می تواند ایجاد کند؟

هنگامی که درب پشتی مسیری به سیستم پیدا می کند، اقدامات زیر را انجام می دهد:

• به مهاجم اجازه می‌دهد تا هر فایلی را ایجاد، حذف، تغییر نام، کپی یا ویرایش کند، دستورات مختلف را اجرا کند، تنظیمات سیستم را تغییر دهد، رجیستری ویندوز را تغییر دهد، برنامه‌ها را راه‌اندازی، نظارت و حذف کند و نرم‌افزارهای دیگر را نصب کند.
• به هکر اجازه می دهد تا دستگاه های سخت افزاری رایانه را کنترل کند، تنظیمات مربوط به خاموش کردن یا راه اندازی مجدد رایانه را بدون اجازه تغییر دهد.
• اطلاعات شخصی، اسناد ارزشمند، گذرواژه‌ها، ورود به سیستم، داده‌های هویت، گزارش‌های فعالیت کاربر را می‌دزدد و عادت‌های مرور وب را ردیابی می‌کند.
• دکمه ضبط را فشار می دهد و از صفحه نمایش عکس می گیرد. علاوه بر این، داده‌های جمع‌آوری‌شده را به آدرس‌های ایمیل خاص ارسال می‌کند، آن‌ها را در یک سرور FTP مشخص آپلود می‌کند، یا از طریق اتصال اینترنت به میزبان‌های راه دور منتقل می‌کند.
• این فایل ها، برنامه های نصب شده را آلوده می کند و به کل سیستم آسیب می رساند.
• فایل های آلوده را در رایانه های راه دور با برخی آسیب پذیری های امنیتی توزیع می کند، حملاتی را علیه هکرها بر روی میزبان های راه دور انجام می دهد.
• یک سرور FTP مخفی را نصب می کند که می تواند توسط مهاجمان برای اهداف غیرقانونی مختلف استفاده شود.

خواندن مقاله طول می کشد: 3 دقیقه

پیدا کردن رمز عبور شخص دیگری کار آسانی نیست، مگر اینکه ترکیب آن "qwerty" پیش پا افتاده نباشد. و بیهوده، کاربران اینترنتی که فعالانه از بانکداری اینترنتی استفاده می کنند، هکرهای ناشناسی را که با حدس زدن کاراکترهای رمز عبور اسکناس را از کیف پول الکترونیکی آنها سرقت کرده اند، نفرین می کنند. همه چیز بسیار ساده‌تر است - در حین سرگردانی در RuNet، کاربران دزدیده شده به طور ناخودآگاه افزونه‌ای را برای فایل‌هایی که به آن‌ها علاقه داشتند دانلود کردند، خواه موسیقی، ویدیو یا چیز دیگری باشد. آنها برنامه جاسوسی BackDoor را دانلود کردند و سپس همه چیز شروع شد ...

در مورد من، یادگیری در مورد درهای پشتی مانند برف در ماه جولای روی سرم افتاد. بعد از فکر کردن زیاد، تصمیم گرفتم از اینترنت دایل آپ به 3G، مودم و ترافیک از Beeline بخرم. وقتی با مودم تازه خریداری شده به خانه برگشتم و نرم افزار آن را روی رایانه خود نصب کردم، به گشت و گذار دیوانه وار در اینترنت توجه کردم - سرعت باید حداقل 50 بار از سرعت شماره گیری بیشتر می شد، فقط ناگهان من اتفاق افتاد نتوانستم از طریق رایانه شخصی خود به برنامه های ناشناخته دسترسی پیدا کنم... بدون توجه به عملکرد همین برنامه ها و خاموش کردن رایانه تا روز بعد، روز بعد متوجه شدم که آنتی ویروس Dr. اینترنت قطع شده است و نمی خواهد ویروس ها را شکار کند.

درب پشتی کامپیوتر برای هکر

این درب پشتی چه نوع جانوری است و چگونه می توانید آن را دریافت نکنید، چگونه می توانید آن را حذف کنید؟ یک "در پشتی"، همانطور که درب پشتی از انگلیسی ترجمه شده است، توسط یک هکر ایجاد می شود و در برنامه ها و فایل های محبوب بین کاربران، یا از طریق ایمیل (کمتر) توزیع می شود - کد آن توسط هکر-توزیع کننده به آنها نسبت داده می شود. پس خودمون و داوطلبانه دانلودش می کنیم! ویروس BackDoor به محض ورود به رایانه کاربر، خود را در پوشه ریشه ویندوز و تعداد زیادی مکان دیگر می نویسد، عملکرد آنتی ویروس را مسدود می کند و دائماً اطلاعات مربوط به رمز عبور و حساب های کاربری این رایانه شخصی را برای مالک ارسال می کند. علاوه بر این، این ویروس جاسوس افزار به طور فعال خود را از رایانه ای که ضبط کرده است، با استفاده از هر مخاطب خارجی - ICQ، ایمیل، پخش می کند. پست، نماینده پست، اسکایپ، شبکه های اجتماعی و غیره... سخت، در یک کلام.

یک کاربر معمولی که در دفع حملات هکرها پیچیده نیست، چه باید بکند؟ پس از کشف نرم افزارهای جاسوسی BackDoor در رایانه شخصی خود - اگر فایروال یا آنتی ویروس خوبی نداشته باشید، تشخیص آن دشوار خواهد بود، فقط پس از سرقت اسکناس ها و دزدیده شدن حساب ها - یک برنامه ضد جاسوس افزار تخصصی ضد جاسوسی دریافت کنید. مثلا من Ad-Aware SE Personal دارم هرچند با دیتابیس های قدیمی و در نسخه رایگان باز هم موثر است. سپس از آن برای حذف کردن درب پشتی احمق از ورودی های کلیدی رجیستری، نصب سریع آنتی ویروس و به روز رسانی پایگاه داده آن استفاده کنید - بلافاصله پس از به روز رسانی یک اسکن کامل را تنظیم کنید و منتظر بمانید تا کامل شود، مهم نیست چقدر طول بکشد!

Backdoorme - ابزاری برای ایجاد خودکار درهای پشتی

Backdoorme یک ابزار قدرتمند است که می تواند درب های پشتی زیادی را در ماشین های یونیکس ایجاد کند. Backdoorme از رابط metasploit آشنا با قابلیت توسعه شگفت انگیز استفاده می کند. Backdoorme برای انتقال و سوء استفاده از هر درب پشتی به اتصال SSH یا اعتبارنامه های موجود قربانی متکی است. لطفاً از Backdoorme با مجوز باز استفاده کنید.

از مهمانان پنهان شده است

​

Backdoorme بلافاصله با تعدادی درب پشتی داخلی، ماژول ها و ماژول های کمکی همراه می شود. درهای پشتی اجزای خاصی برای ایجاد و استقرار درب پشتی مورد نیاز هستند، مانند درب پشتی netcat یا درب پشتی msfvenom. ماژول ها را می توان برای هر درب پشتی اعمال کرد و برای قدرتمندتر کردن، پنهان کردن یا غیرفعال کردن درهای پشتی استفاده می شود. کمکی ها عملیات مفیدی هستند که می توانند برای کمک به حفظ پایداری انجام شوند.

کمی بیشتر در مورد درهای پشتی:برای اجرای Backdoorme، مطمئن شوید که وابستگی های لازم را دارید.

$python dependencies.py

راه اندازی Backdoorme:

$pythonmaster.py

درهای پشتی

برای استفاده از درب پشتی، به سادگی کلمه کلیدی "use" را اجرا کنید.

>> استفاده از shell/metasploit + استفاده از هدف فعلی 1. + استفاده از Metasploit backdoor... (msf) >>

از آنجا می توانید گزینه های متناسب با درب پشتی را تنظیم کنید. برای مشاهده لیستی از گزینه های قابل پیکربندی، «show options» یا «help» را اجرا کنید.

مانند متاسپلویت، درهای پشتی به دسته بندی سازماندهی می شوند.

• کمکی
  • کی لاگر– یک کی لاگر به سیستم اضافه می کند و امکان ارسال مجدد نتایج از طریق پست را در اختیار شما قرار می دهد.
  • سادهhttp– سرور پایتون SimpleHTTP را روی کلاینت نصب می کند.
  • کاربر- یک کاربر جدید به هدف اضافه می کند.
  • وب– سرور آپاچی را روی کلاینت نصب می کند.
• تشدید
  • سست– درپشتی SetUID با تنظیم بیت setuid روی فایل اجرایی کار می کند که به این معنی است که کاربر دسترسی root دارد. بنابراین، زمانی که این فایل اجرایی بعدا توسط کاربری که دسترسی روت ندارد اجرا شود، فایل با دسترسی ریشه اجرا می شود. به طور پیش‌فرض، این درب پشتی بیت setuid را به nano تغییر می‌دهد، به طوری که اگر دسترسی ریشه به نحوی از بین برود، مهاجم می‌تواند به عنوان یک کاربر غیرمجاز دوباره به SSH وارد شود و همچنان بتواند nano (یا هر باینری انتخابی) را به‌عنوان ریشه اجرا کند. ("nano /etc/shadow"). لطفاً توجه داشته باشید که برای استقرار این افزونه درب پشتی، در همان ابتدا به دسترسی روت نیاز است.
  • پوسته– درب پشتی پوسته یک افزونه درب پشتی ممتاز است، مشابه (اما خاص تر) خواهر و برادر داخلی آن SetUID. پوسته bash را در یک باینری پنهان کپی می کند و بیت SUID را تنظیم می کند. لطفاً توجه داشته باشید که برای استقرار این افزونه درب پشتی در ابتدا به دسترسی روت نیاز است. برای استفاده از این درب پشتی در حین SSH به عنوان یک کاربر غیرمجاز، به سادگی ".bash -p" را اجرا کنید و دسترسی روت خواهید داشت.
• پوسته (دسته پوسته)
  • ضربه شدید- از یک اسکریپت bash ساده برای اتصال به یک ترکیب ip و پورت خاص و ارسال نتیجه به bash استفاده می کند.
  • bash2- یک درب پشتی bash کمی متفاوت (و ایمن تر) که در بالا توضیح داده شد، که نیازی به رمز عبور در سمت مشتری ندارد.
  • متاسپلویت– از msfvenom برای ایجاد یک باینری reverse_tcp روی هدف استفاده می کند، سپس باینری را برای اتصال به پوسته مترپرتر اجرا می کند.
  • نت کت- از netcat برای ارسال ورودی و خروجی استاندارد به /bin/sh استفاده می کند و پوسته تعاملی را در اختیار کاربر قرار می دهد.
  • netcat_traditional- از -e netcat-traditional برای ایجاد پوسته معکوس استفاده می کند.
  • پرل- یک اسکریپت نوشته شده در perl که نتیجه را به bash هدایت می کند و نام فرآیند را تغییر می دهد تا کمتر قابل توجه به نظر برسد.
  • php– یک درب پشتی php راه اندازی می کند که نتیجه را به bash می فرستد. به طور خودکار یک وب سرور را نصب نمی کند، بلکه از یک ماژول وب استفاده می کند.
  • توله سگ- از درب پشتی n1nj4sec Pupy استفاده می کند که در قرار دارد

    از مهمانان پنهان شده است

    .
  • پایتون- از یک اسکریپت کوتاه پایتون برای اجرای دستورات و ارسال نتایج به کاربر استفاده می کند.
  • وب– وب سرور را به هدف ارسال می کند، سپس درب پشتی msfvenom php reverse_tcp را دانلود می کند و به هاست متصل می شود. اگرچه این هنوز یک درپشتی php است، اما با درب پشتی php که در بالا توضیح داده شد یکسان نیست.
• دسترسی داشته باشید
  • remove_ssh– سرور ssh روی کلاینت را حذف می کند. استفاده از آن در پایان یک جلسه پشتی برای حذف هر گونه ردی بسیار راحت است.
  • ssh_key- یک کلید RSA ایجاد می کند و آن را برای اتصال بدون رمز عبور ssh در هدف کپی می کند.
  • ssh_port– یک پورت جدید برای ssh اضافه می کند.
• ویندوز (دسته ویندوز)
  • پنجره ها– از msfvenom برای ایجاد درب پشتی ویندوز استفاده می کند.

ماژول ها

هر درب پشتی قابلیت دریافت ماژول های اضافی را دارد که برای قدرتمندتر کردن درب پشتی استفاده می شود. برای اضافه کردن یک ماژول، به سادگی از کلمه کلیدی "افزودن" استفاده کنید.

(MSF) >> اضافه کردن سم + ماژول سم اضافه شد

هر ماژول دارای گزینه های اضافی است که می توان آنها را پیکربندی کرد و اگر دوباره "help" را اجرا کنید، می توانید هر گزینه اضافی را ببینید یا تنظیم کنید.

ماژول های موجود در حال حاضر عبارتند از:

• سم
  • مسمومیت bin را بر روی کامپیوتر مورد نظر انجام می دهد - یک فایل اجرایی را برای فراخوانی یک ابزار سیستم و یک درب پشتی موجود کامپایل می کند.
  • به عنوان مثال، اگر ماژول bin Poisoning در کنار "ls" اجرا شود، یک باینری به نام "ls" را کامپایل و پورت می کند که هم درب پشتی موجود و هم "ls" اصلی را اجرا می کند، بنابراین کاربر نمی تواند درب پشتی را بیشتر اجرا کند. .
• کرون
  • یک درب پشتی موجود را به crontab کاربر اصلی اضافه می کند تا در فرکانس مشخص اجرا شود.
• وب
  • یک وب سرور نصب می کند و یک صفحه وب را میزبانی می کند که درب پشتی را راه اندازی می کند.
  • به سادگی به سایتی با شنونده باز رفته و درب پشتی راه اندازی می شود.
• کاربر
  • کاربر جدیدی را به هدف اضافه می کند.
• استارت آپ
  • به شما امکان می دهد با فایل های bashrc و init درهای پشتی ایجاد کنید.
• لیست سفید
  • IP را در لیست سفید قرار می دهد تا فقط این IP بتواند به Backdoor متصل شود.

ترجمه: