Crontab 程序对于系统管理员来说是非常有用的。Cron 服务用于计划程序在特定时间（月、日、周、时、分）运行。如果你足够聪明，就应该加以利用，使之为我们制造“后门”！通过 Cron 服务，你可以让它在每天凌晨 2:00 （这个时候网管应该睡觉了吧。）运行后门程序，使你能够轻易进入系统干你想干的事，并在网管起来之前退出系统。根用户的 crontab 文件放在 /var/spool/crontab/root 中，其格式如下：
(1) (2) (3) (4) (5) (6)

超级服务器守护进程（inetd）的配置文件。系统管理员一般情况下不经常检查该文件，因此这倒是个放置“后门”的好地方。:) 那么在这里如何建立一个最好的后门呢？当然是远程的了。这样你就不必需要本地帐号就可以成为根用户了。首先，让我们先来了解一下这方面的基础知识：inetd 进程负责监听各个TCP和UDP端口的连接请求，并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单，基本形式如下：
(1) (2) (3) (4) (5) (6) (7)

　　最简单的方法，就是在口令文件 passwd 中增加一个 UID 为 0 的帐号。但最好别这么做，因为只要系统管理员检查口令文件就会“漏馅”了。以下是在 /etc/passwd 口令文件中添加一个 UID 0 帐号的C程序。
backdoor/backdoor1.c
#include
main()
{
FILE *fd;
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::

一 前言：
随着email在企业里广泛使用，它已经成为传播病毒的最主要的手段，保护企业
用户免受可能带病毒的邮件附件的感染，尤其是可执行文件的邮件附件，我们
需要过滤那些可能带有病毒的附件的邮件，当前主要的做法是在Sendmail把
邮件送到用户信箱前由Procmail进行过滤，但是更好的方法是在SMTP传送期间
由Sendmail本身进行过滤，本文就是重点在于讲述如何使用Sendmail在SMTP
传输期间进行过滤。
二 基于Se

作者:· ·周侃··天极e企业
§.前言
这篇文章主要针对一些对网络安全感兴趣、同时又还不怎么熟悉Unix入侵和防范的朋友们而写的一篇文章。本文循序渐进地介绍了黑客攻击Unix主机的主要方法和系统管理员如何针对这些方法进行有效的防御等。
　　§.Unix的特点
Unix能流行起来绝对不是偶然的，这跟Unix本身的特点之突出是分不开的特点，那就是：1、极强的可移植性；2、启动异步进程的能力；3、一致的文件、设备和进程间I/O；5、层

虽然已经有许多文章对有关Unix网络的安全性问题进行了广泛的论述，但随着技术的进步和人们对安全问题的认识的深入，总是不断有安全问题被暴露出来，并被加以修正。本文介绍两个由于技术上认识不足而造成的安全问题，并给出解决方法。
关机用户的安全问题。
近年来，许多文章相继介绍了一种所谓最安全的Unix的关机用户。其主要思想是直接在/etc/passwd文件或/etc/shadow文件中的关机用户一行的末尾加入/etc/shutdown命令或加入/etc/haltsys命

　　如今系统的安全变的越来越重要了，这里我想把我平时比较常使用的一些linux下的基本的安全措施写出来和大家探讨一下，让我们的Linux系统变得可靠。
　　1、BIOS的安全设置
这是最基本的了，也是最简单的了。一定要给你的BIOS设置密码，以防止通过在BIOS中改变启动顺序，而可以从软盘启动。这样可以阻止别有用心的试图用特殊的启动盘启动你的系统，还可以阻止别人进入BIOS改动其中的设置，使机器的硬件设置不能被别人随意改动。
2、LILO的安全设置

作者:流云
在开发者的团体内，关于“什么是检测攻击的最有效的方法？”的问题的争论还在激烈的进行着，不过IDS的用户对目前的IDS技术还是感到满意的，为了获得更有优势的竞争，很多的IDS产品提供商，都在其产品中加入了主动响应的功能。这个功能的概念就是说IDS将检测攻击者的攻击行为，并组织攻击者继续进行攻击。不过，问题是稍有一点TCP/IP知识的攻击者都可以轻易的直接击败这些响应机制；或者利用这些机制实现阻断网络的功能，管理员将不得不关闭这些功能。对于管理员来说，明白主动响应的局限性将

by Mark Nielsen (homepage)
关于作者:
Mark 先生是一位将自己的时间都捐献给 GNUJob.com 等事业的自由咨询者，他写了很多的文章和自由软件，并且是 eastmont.net 的一名志愿者。
摘要:
对系统服务进行 chroot 以限制入侵者可能造成的破坏，从而提高系统的安全性。
------------------------------------------------------------

关于系统的后门
这是一篇很好的文章,以前曾读过,但很匆忙.昨天静下心来细细品味,颇有收获.
由于水平所限,许多不确切的地方已经指出,希望你们不吝指教.还有,许多方法
理论上能够明白,实际操作尚有距离,希望大家以后能热烈讨论.
后门 (Beta 1)
Christopher Klaus 8/4/97
译者 iamtheguest
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技

原作者： David Whitmarsh
编译：ideal
传统防火墙和网桥式防火墙有什么区别呢？通常一个防火墙象一个路由器一样工作：内部系统被设置为将防火墙看做是通向外部网络的网关，并且外部的路由器被设置为将防火墙看做是连往内部被保护的网络的网关。一个网桥则是一个联结一个或多个网段的设备，在各个网段之间转发数据，而网络中其他设备并不会感觉到存在一个网桥。换句话说，一个路由器将两个网络连接在一起，在两者之间传输数据；一个网桥则更

　　基于TCP/IP协议的服务很多，人们比较熟悉的有WWW服务，FTP服务，电子邮件服务，不太熟悉的有TFTP服务，NFS服务，Finger服务等等。这些服务都存在不同程度上的安全缺陷，当用户用防火墙保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，在这里只对一些服务作一些简单介绍。
　　一、WWW服务
　　WWW服务相对于其它服务出现比较晚，是基于超文本传输协议（HTTP），它是由瑞士日内瓦欧洲粒子物理实验室发明的，并在短时间内得到迅猛发展，是人们最常使用的因特网服务。随

1.什么是状态检测
每个网络连接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字对(socket pairs)；协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful)，能够检测每个连接状态的防火墙叫作状态包过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。
iptables中的状态检测功能是由state选

二．系统调用运行步骤
冰块
　　我们的系统安全增强是建立在一个内核后面的参考监视器上的。
用户的进程要想访问系统的调用就必须经过这个参考的监视器。如图1。这个系统调用参考的监视器包括两个重要的功能部分：参考功能函数和认证功能函数。参考功能函数是用来生成一个结果，这个结果是关于是否允许或是拒绝一个基于访问控制数据库系统调用请求的。这个访问控制数据库概念性的包括入口和访问控制的规则（规则涉及进程，系统调用，访问模式）。在ACD中的访问控制规则能捕捉在系统调用和他们相

一．介绍
冰块
现在大家已经公认了，世界上没有绝对的方法或绝对安全的系统来阻止黑客的入侵：
没有漏洞的软件对我们来说还是一个梦想。即使是很流行的程序或是操作系统一样会包含很都可以被入侵者利用的漏洞。
许多软件包的行为都是和其他操作系统的组件（函数库或是内核）相互作用的。
由于这个原因，所以入侵检测和如何处理入侵行为在计算机工业里一直在广泛的讨论和研究。
很多现有的入侵检测的技术

　　在计算机制造业中，只要涉及到计算机安全性要求非常重要高的地方，总要提起入侵检测和如何处理黑客的入侵。在这个方面的主要讨论焦点是：在入侵者进行完成入侵后发现并记录入侵，还不如在他们入侵之前就发现并阻止他们对系统的入侵。
前言 ( 2001-04-27 )
一．介绍 ( 2001-04-27 )
二．系统调用运行步骤 ( 2001-04-27 )
三．防止缓冲区溢出的内核补丁 ( 2001-04-27 )
四．实现 ( 2001-04-27 )
五．

中科红旗　
Linux“菜鸟”：Linux需要一个新的分区安装，我有些不懂，这里的分区是指DOS下的Fdisk建立的扩展分区，还是指逻辑驱动器或者是扩展分区上的剩余空间，又或是非DOS分区。例如：我的机器分了两个区，一个分区为C盘，第二个分区为D、E盘，我现在想装Linux，是应该将E盘删掉安装呢，还是再建立一个扩展分区安装呢？
专家：请忘记A、B、C、D驱动器的概念。Linux和其他UNIX一样没有这个概念。所谓的分区是将硬盘分成若干逻辑上独立的部分，每个部分都可以独立地

翻译：e4gle（大鹰）
Backdoor and Linux LKM Rootkit - smashing the kernel at your own risk
来源：CS290I Project Report
译：alert7,el8 from m4in security teams.
CS290I Project Report
Backdoor and L

前言
　　第一部分，我们讲述TCP连接的建立过程（通常称作三阶段握手），然后讨论与扫描程序有关的一些实现细节。
　　然后，简单介绍一下经典的扫描器（全连接）以及所谓的SYN（半连接）扫描器。
　　第三部分主要讨论间接扫描和秘密扫描，还有隐藏攻击源的技术。
　　秘密扫描基于FIN段的使用。在大多数实现中，关闭的端口对一个FIN 段返回一个RST，但是打开的端口通常丢
弃这个段，不作任何回答。间接扫描，就像它的名字，是用一个欺骗主机来帮助实施，这台主机通常不是

安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。
安全扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟

摘要：本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术，并且对最著名的rootkit工具之一—knark进行了详细的分析，并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。
注意：本文是用于管理员学习之用，不可用于进行网络攻击否则带来的任何法律后果自行负责。本文作者不对由于本文导致的任何后果负任何责任。
一、什么是"rootkit"？
入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。

后门
声明:此文为翻译文章,QiangGe只做了一些修改,并加入了一些自己的心得及自己所写的程序.
译者 iamtheguest
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门.本文将讨论许多常见的后门及其检测方法. 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门. 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识.

Ipchains被用来安装、维护、检查Linux内核的防火墙规则。规则可以分成四类：IP input链、IP output链、IP forward链、user defined链。
一个防火墙规则指定包的格式和目标。当一个包进来时，核心使用input链来决定它的命运。如果它通过了，那么核心将决定下一步包该发往何处（这一步叫路由）。假如它是送往另一台机器的，核心就运用forward链。如果不匹配，进入目标值所指定的下一条链，那有可能是一条user defined链，或者是一个特定值：

--------------------------------------------------------------------------------
对PHP程序中的常见漏洞进行攻击之狗尾续貂
原创：san（小许）
来源：http://www.xfocus.org
A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications
之狗尾

Know Your Enemy:
Statistics
Analyzing the past ... predicting the future
Honeynet Project
http://project.honeynet.org/
http://www.xfocus.org/honeynet/
Last Modified: 22 July, 2001
在过去的几年里，Honeynet Project已经收集和归档了backh