嗅探欺騙，最危險(xiǎn)的后門

這類后門是攻擊者在控制了主機(jī)之后，并不創(chuàng)建新的帳戶而是在主機(jī)上安裝嗅探工具竊取管理員的密碼。由于此類后門，并不創(chuàng)建新的帳戶而是通過(guò)嗅探獲取的管理員密碼登錄系統(tǒng)，因此隱蔽性極高，如果管理員安全意識(shí)不高并缺少足夠的安全技能的話是根本發(fā)現(xiàn)不了的。

（1）安裝嗅探工具

攻擊者將相應(yīng)的嗅探工具上傳或者下載到服務(wù)器，然后安裝即可。需要說(shuō)明的是這些嗅探工具一般體積很小并且功能單一，但是往往被做成驅(qū)動(dòng)形式的，所以隱蔽性極高，很難發(fā)現(xiàn)也不宜清除。

（2）獲取管理員密碼

嗅探工具對(duì)系統(tǒng)進(jìn)行實(shí)施監(jiān)控，當(dāng)管理員登錄服務(wù)器時(shí)其密碼也就被竊取，然后嗅探工具會(huì)將管理員密碼保存到一個(gè)txt文件中。當(dāng)攻擊者下一次登錄服務(wù)器后，就可以打開(kāi)該txt文件獲取管理員密碼。此后他登錄服務(wù)器就再不用重新創(chuàng)建帳戶而是直接用合法的管理員帳戶登錄服務(wù)器。如果服務(wù)器是一個(gè)Web，攻擊者就會(huì)將該txt文件放置到某個(gè)web目錄下，然后在本地就可以瀏覽查看該文件了。（圖1）

（3）防范措施

嗅探后門攻擊者以正常的管理員帳戶登錄系統(tǒng)，因此很難發(fā)現(xiàn)，不過(guò)任何入侵都會(huì)留下蛛絲馬跡，我們可以啟用組策略中的“審核策略”使其對(duì)用戶的登錄情況進(jìn)行記錄，然后通過(guò)事件查看器查看是否有可疑時(shí)間的非法登錄。不過(guò)，一個(gè)高明的攻擊者他們會(huì)刪除或者修改系統(tǒng)日志，因此最徹底的措施是清除安裝在系統(tǒng)中的嗅探工具，然后更改管理員密碼。

【編輯推薦】

1. 后門木馬隱藏技術(shù)分析
2. 如何全面清除計(jì)算機(jī)電腦病毒
3. Windows組策略保障共享目錄安全
4. 安全設(shè)置Windows組策略有效阻止黑客