最后一步，这个tfn2k程序是我们想一直运行，即使管理员关机重新启动后依然可以自动加载的话——留意到没？刚才的ps进程里，有看到named，于是我们在/etc/init.d/named里加上一段就行了

　　好了，到这里，我们的掩饰目的基本上已经完成了。把我们的这个skylove帐号退出，用前面漏洞进入系统获得root的方式进去，进行最后的清理现场工作——首先把日志里面的内容删除掉 /var/log/message、/var/log/secure这里面的相关信息都清理掉，然后将ssh删除掉（当然如果你另有打算长期控制它，那么可以保留），再将我们那显眼的帐号skylove删除掉（如果你的那些程序是放在当时你新建帐号的home下，那么记得只需要先chown -R那个目录，然后直接在/etc/passwd里将我们那条skylove的记录删除就行咯）。之后再次清理log，确认一切正常后退出（再次把后门虚掩上）。

　　好了，这样一个后门就在目标机上长存了，如果对方的管理员比较疏忽大意的话，那么我想这个dos攻击发射器大概会有机会存在至少2个月左右的时间吧。用同样的方法，攻击者可以在各处寻找有漏洞的机器进行如上处理，埋下dos攻击服务器。当一有必要的时候，用客户端同时将服务器端起用起来攻击一个服务器，我想那个服务器一般大概挺不过30分钟吧。。。

　　如何防御

　　完整的模拟工具之后，大家接下来和天缘一起回看一下，让我们想想该如何防御后门程序。

　　首先，将不必要的服务一定关闭上，因为多一个端口就等于多给了攻击者一次尝试的机会，而那个不必要的服务，或许正是开门揖盗的罪魁祸首；

　　其次，选定适合的网络接口——例如如果你的mysql服务只针对本机，那么完全可以将接口只绑定到127.0.0.1的3306上，这样就避免了其他人外连的可能；

　　再次，对于公开对外的服务，一定需要及时打上相应的patch，犹如我在模拟攻击最开始中透露的一样——获得root权限那一步很多时候是用现成的漏洞找对应bug版本的服务软件的机器来有针对性攻击来实现的。因此记得开了什么服务，就需要随时关注那个服务器软件的bug信息，争取在第一时间升级到稳定版本。

　　最后，一旦攻击者进入，任何程序或文件都有可能被改写——上面的例子中我就用简单的shell来实现了掩藏——可能有人问，我直接把系统的文件正式替换掉如何呢？ 那样效果可能没有我这样好（因为有的网管会使用chkrootkit　等软件来检查系统文件是否已经发生了改变——而天缘上面的做法压根就没改变系统文件，所以效果会更好一些。）因此攻击一旦发生后，如果相应的命令没有backup干净版本的，那么推荐还是备份重要数据，然后重新安装系统比较适合了——虽然用find文件或许可以发现当天的文件，但是不见得攻击者的攻击是一次完成的，如果是几次完成的呢？或者另有伏笔呢？所以最好的确保方法就是backup资料数据，重新安装系统。从这点也可以看出平时backup的重要性和必要性来。

　　网络管理和攻击从来是一个永恒对立的话题，而网络管理员从来都是处于弱者地位——攻击者可能在24小时内的任何时间里发出攻击，而网络管理员却没有办法在24小时内全部处于备战状态。那么解决这个问题的方法是什么呢？我个人的推荐是做一台单独的日志服务器，而且日志服务器选用比较安全的操作系统来做，例如openbsd。将其他每台服务器的log都发送到它上面，这样即使服务器被攻击了都有机会在日志中查找到攻击者的行为及手法，而如果攻击者要同时攻击日志服务器与工作服务器，难度相应比较大一些。

　　后门的攻击与防御，其实和网络上随时都在发生的各类攻击与防御比较起来没什么本质的区别——依然是那句老话：“守好自家的门，看好自家的人。”

　　（此文中的攻击手法全为让读者加深理解，理论联系实际而发布，任何人擅用上面的思路或代码进行犯罪行为与天缘本人及此文首发站点soft.yesky.com无关，任何网站转载请一定注明此句）