Подмена системных утилит

В прошлом модификации системных утилит ограничивались программой login, в которую нападающий мог запрограммировать некоторый свой пароль, предоставляющий ему неограниченный доступ к системе в любое время. Сегодня тот же метод применяет­ся в отношении других утилит идентификации, существующих в Internet и интрасетях. Широкая доступность исходного текста ути­лит системы UNIX еще более упростила этот процесс, поскольку злоумышленник может легко найти текст нужной ему утилиты и модифицировать ее по своему усмотрению. Некоторые из лучших подделок даже компилируют до точного совпадения размера в байтах с исходной версией. Кроме традиционного "черного входа", многие подделки позволяют пользователю скрываться от про­граммы учета процессов. Поскольку злоумышленник входит в сис­тему через "черный вход", его присутствие не фиксируется в сис­темных файлах регистрации.

В среде UNIX имеются многочисленные системные файлы ре­гистрации, которые следят за событиями типа некорректных по­пыток входа в систему, нормальных входов в систему и выходов из нее, а также за выполняемыми командами. Файл UТМР следит за всеми пользователями, в текущий момент зарегистрированными в системе. WTMР или lastlog, следит за временем входа в систему и выхода из нее. Базы данных регистрации процессов, обычно на­зываемые acct или pacct, следят за всеми командами, выполняе­мыми отдельными пользователями. Если модифицировать эти файлы, пользователь останется невидимым для команд типа who, last и lastcomm. Этот тип модификации, дополненный определен­ными утилитами, значительно затрудняет администратору системы установление факта атаки со стороны злоумышленника.