讨论：如何检测购买软件是否留有后门？

王楠w_n

获奖详情：http://bbs.chinaunix.net/thread-4250947-1-1.html



话题背景：

上周苹果拒绝要求它帮助FBI开发后门固件的法庭命令——iOS系统的更新可以在不要求输入密码的条件下自动完成，FBI因此想要苹果开发出能绕过安全保护机制的特别固件，降低暴力破解的难度。

这件事指出了一个事实：系统更新是绝大多数软件现成的后门。很多软件都内置更新机制，而这个机制在许多年里甚至不包含对更新验证真伪，它是加密的一个单点故障，这个点被攻破了整个系统的安全防御就彻底瓦解了。攻击者可以在客户端和更新服务器之间发动中间人攻击。苹果说FBI强迫它在从产品中创造后门——实际上它的真实含义是FBI强迫它使用后门。


所以问题来了，您在工作中是否碰到“后门现象”：

如果您有碰到，又是如何检测购买的软件是否留有后门？（大家可以畅所欲言，还可拓展到话题以外）


讨论时间：2016年3月1日-4月1日


奖励设置：

活动结束后，我们会选取5条精彩回复，并各送《统计思维：程序员数学之概率统计》一本。



作者： (美)Allen B. Downey   
译者： 金迎
丛书名： 图灵程序设计丛书
出版社：人民邮电出版社
ISBN：9787115401083
上架时间：2015-8-18
出版日期：2015 年9月
开本：16开
页码：186
版次：2-1

内容简介：统计思维：程序员数学之概率统计（第2版）》是一本以全新视角讲解概率统计的入门图书。抛开经典的数学分析，Downey手把手教你用编程理解统计学。《统计思维：程序员数学之概率统计（第2版）》通过一个案例研究，介绍探索性数据分析的全过程：从收集数据、生成统计信息，到发现模式、验证假设。同时研究分布、概率规则、可视化和其他多种工具及概念。此外，第2版新增了回归、时间序列分析、生存分析和分析方法等章节。本书既适合作为教材，又适合作为程序员学习概率统计的参考书，也适合作为非程序员了解概率统计与编程的工具书。

注：奖品图书不受限制，和活动内容无关，如对我们的奖品存有异议，可给管理员协商解决。

---

chinaunix社区现有4个技术讨论群（微信群）分别为：

IT运维技术趋势群、IT架构技术交流群、chinaunix内核技术交流群、chinaunix服务器应用技术交流群。

PS:以上4个群，均多于100人，微信群规定满100人的，需实名认证且通过群主邀请才能进群，群主妹纸的微信号（na973966431）


加微信的时候备注论坛ID+群名称，如：王楠 w_n +it运维技术趋势群

lsstarboy

我是来说微信群的：

微信群把信息隐藏起来，不能被搜索引擎搜到，也不能被群外的网友共享，更不能跟论坛扯上关系。

群所带的问题是：所有问题都是临时性的，下次遇到还要重新来，没有检索，也没有长时间的记录可查。

长此以往，就养成了伸手党，有问题直接问就是了，反正不用搜索，资料也不用查。

微信和QQ，属于IM，仅仅适合快速的信息交流，而不适合信息的传播。

ChinaUnix以论坛起家，以开源技术问题的传播为特点，一旦所有问题都在群里解决了，论坛也就没有意义了。

请各位管理员慎重考虑群的问题，可以建管理群，但是最好远离技术群！！！

子游11

这个很难找的。

action08

木有能力讨论相关问题


天下没有不透风的墙，话说gps那么小的设备就能完成与卫星的通讯定位同步时间，这个世界不可思议

hellioncu

抓包、反编译，。。。。隐藏得好，其实真的很难发现后门的

jieforest

支持一下。。

baopbird2005

后门产生的必要条件有以下三点：
1．必须以某种方式与其他终端节点相连——由于后门的利用都是从其他节点进行访问，因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功，双方才可以进行信号交流，攻击方才有机会进行入侵。
2．目标机默认开放的可供外界访问的端口必须在一个以上——因为一台默认无任何端口开放的机器是无法连接通信的，而如果开放着的端口外界无法访问，则同样没有办法进行入侵。
3．目标机存在程序设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的帐号都能够被利用的，只有权限达到操作系统一定要求的才允许执行修改注册表，修改log记录等相关修改。


现在的软件大部分都是要联网之类的，现在最好的检测方式就是抓包，然后在定向分析。但是这个需要一些专业的知识才行的。普通的用户可能是无法完成的。

action08

回复 7# baopbird2005


    你考虑的问题还不够，大家都知道gps可以实现定位，原理大家都明白，跟卫星通信呗

所以说啊，所谓后门这类事情，根本就不是你我这么简单的小人物就能考虑到的。
gps才多大一点芯片？？跟卫星通信跟ip这么毛的关系啊，不好意思，列举了一个打脸的例子，联网i抓包，太loser了

lyhabc

如何在centos上安装和使用 Rkhunter

安全事件经常出现
http://bbs.chinaunix.net/forum.p ... ;page=1#pid24529371

#安装
yum install -y  binutils libreadline5 libruby ruby  ssl-cert unhide.rb mailutils
wget -c http://downloads.sourceforge.net ... hunter-1.4.2.tar.gz
tar xzvf rkhunter-1.4.2.tar.gz
cd  rkhunter-1.4.2
# ./installer.sh --layout /usr --install
Checking system for:
Rootkit Hunter installer files: found
A web file download command: wget found
Starting installation:
Checking installation directory "/usr": it exists and is writable.
Checking installation directories:
  Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
  Directory /usr/share/man/man8: exists and is writable.
  Directory /etc: exists and is writable.
  Directory /usr/bin: exists and is writable.
  Directory /usr/lib64: exists and is writable.
  Directory /var/lib: exists and is writable.
  Directory /usr/lib64/rkhunter/scripts: creating: OK
  Directory /var/lib/rkhunter/db: creating: OK
  Directory /var/lib/rkhunter/tmp: creating: OK
  Directory /var/lib/rkhunter/db/i18n: creating: OK
  Directory /var/lib/rkhunter/db/signatures: creating: OK
Installing check_modules.pl: OK
Installing filehashsha.pl: OK
Installing stat.pl: OK
Installing readlink.sh: OK
Installing backdoorports.dat: OK
Installing mirrors.dat: OK
Installing programs_bad.dat: OK
Installing suspscan.dat: OK
Installing rkhunter.8: OK
Installing ACKNOWLEDGMENTS: OK
Installing CHANGELOG: OK
Installing FAQ: OK
Installing LICENSE: OK
Installing README: OK
Installing language support files: OK
Installing ClamAV signatures: OK
Installing rkhunter: OK
Installing rkhunter.conf: OK
Installation complete

#更新病毒库
rkhunter --update
# rkhunter --update
[ Rootkit Hunter version 1.4.2 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ Updated ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/tr                                      [ No update ]
  Checking file i18n/tr.utf8                                 [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]

  
#运行
/usr/bin/rkhunter -c


#检查日志文件
/var/log/rkhunter.log


[15:45:13] Info: Unable to find the 'lsof' command
[15:45:14]   Scanning for string /usr/lib/.../lsof           [ OK ]
[15:45:34]   Checking for file '/usr/lib/.../lsof'           [ Not found ]
[15:46:41] Info: Unable to find the 'lsof' command
[15:45:13] Info: Found the 'ldd' command: /usr/bin/ldd
[15:45:25]   /usr/bin/ldd                                    [ Warning ]
[15:45:25] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable

王楠w_n

链接打不开 回复 9# lyhabc