转自:https://micropoor.blogspot.hk/2017/12/php.html
当我们接到某个项目的时候,它已经是被入侵了。甚至已经被脱库,或残留后门等持续攻击洗库。
后渗透攻击者的本质是什么?
阻止防御者信息搜集,销毁行程记录,隐藏存留文件,维持权限。
防御者的本质是什么?
寻找遗留信息,发现攻击轨迹与样本残留并且阻断再次攻击。
那么这里攻击者就要引入“持续攻击”,防御者就要引入“溯源取证与清理遗留”,攻击与持续攻击的分水岭是就是后渗透持续攻击,而表现形式其中之一就是后门。
后门的种类:
本地后门:如系统后门,这里指的是装机后自带的某功能或者自带软件后门
本地拓展后门:如iis 6的isapi,iis7的 模块后门
第三方后门:如apache,serv-u,第三方软件后门
第三方扩展后门:如php扩展后门,apache扩展后门,第三方扩展后门
人为化后门:一般指被动后门,由人为引起触发导致激活,或者传播
后门的隐蔽性排行:
本地后门>本地拓展后门>第三方后门>第三方扩展后门,这里排除人为化后门,一个优秀的人为化后门会造成的损失不可估计,比如勒索病毒的某些非联网的独立机器,也有被勒索中毒。在比如某微博的蠕虫等。
整体概括分类为:
主动后门,被动后门。传播型后门。
后门的几点特性:
隐蔽,稳定。持久
一个优秀的后门,一定是具备几点特征的,无文件,无端口,无进程,无服务,无语言码,并且是量身目标制定且一般不具备通用性。
攻击者与防御者的本质对抗是什么&#