Versteckte Server
Der Artikel beschreibt die Möglichkeit, einen Administrationszugang für Server zu tarnen
Normale Server horchen auf UDP- oder TCP-Ports nach eingehenden Verbindungen von Clients. SSH nimmt zum Beispiel auf Port 22 Verbindungen entgegen, um Administratoren Zugriff auf das System zu ermöglichen. Ein Angreifer kann mit entsprechenden Werkzeugen diesen Zugang attackieren und möglicherweise darüber eindringen. Ist kein Port geöffnet, sieht der Angreifer keinen Ansatzpunkt mehr. Der Artikel beschreibt einen getarnten Administrationszugang über einen Dienst, der im Promiscous-Mode Kommandos entgegen nimmt. Gesteuert wird er über spezielle Pakete mit besonderen Merkmale, die von ihm im Netzwerk identifiziert werden. Die Pakete müssen dazu nicht an den Server direkt gesendet werden, es reicht aus, wenn sie im Netzwerk an ihm vorbei transportiert werden. Solche Techniken werden zum Teil schon bei Rootkits eingesetzt. Die Quelltexte zu diesem Server gibt es hier: SAdoor
Claes M. Nyberg: A non listening remote execution server (ju)
