バックドアとは、rootやAdministrator等の管理権限を奪ったサーバに対して、
再度侵入や攻撃を仕掛けるときに行いやすくするためのものです。
侵入や攻撃を行う側の立場からは、手間をかけてアカウント情報を入手し侵入したサーバに対して同じかまたはこれまで以上の手間をかけたくはないはずです。
一度侵入した後は、次回からも侵入しやすいようにバックドアを仕掛けるのです。
言い換えるならば、一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。
バックドアには多くの種類があります。
簡単なものには.rhostsファイルを利用したものがあります。
これはIP Spoofingの項で解説したように、r系コマンドで使用されるファイルです。そして、r系コマンドは、相手のIPアドレスが認証されると以降の認証が行われないというインターネット上においては致命的な問題を持っています。
つまり、この.rhostsファイルもバックドアの一つとなる可能性があるのです。
攻撃側は、パスワード解析などを使用して管理者のパスワードを取得し侵入します。
ここまでは、パスワード解析と侵入という組み合わせですが、この後も侵入を繰り返す場合、その行為を楽にしたいため.rhostsに記述するわけです。
これだけでなく、更にバックドアのプログラムを送り込んで特定のポート経由で侵入するようなこともあります。
特に、"."で始まるファイル名は、UNIXシステムにおいては隠ファイルとして扱われるため、バックドアのプログラム自体を"."で始まるファイル名に変更しておく場合が多いようです。これを/usr/bin/等に配置するのです。
置かれたバックドアのプログラムはsetuidビットを立てておくとroot権限で動作するようになるため、次回からrloginを行い、そのプログラムを実行するだけでroot権限を取得できてしまうことになります。
このようにバックドアは、これまで解説してきた手法の組み合わせにすぎません。 つまり、これまで解説してきた手法を防げなければ、バックドアを仕込まれる可能性があるということです。
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.