文章大纲：

• 1、黑客中说的后门什么意思?
• 2、盗原神号违法吗
• 3、LOFTER原神官方账号被盗，为何官号账号也会被盗？

黑客中说的后门什么意思?

一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的更好范例。Unix中留后门的 *** 有很多种，下面介绍几种常见的后门，供 *** 管理员参考防范。

密码破解后门

这是入侵者使用的最早也是最老的 *** ，它不仅可以获得对Unix机器的访问，而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

Rhosts + + 后门

在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证 *** 。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。许多管理员经常检查 "+ +"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。

校验和及时间戳后门

早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。

Login后门

在Unix里，login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。

Telnetd后门

当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产生一个shell。

服务后门

几乎所有 *** 服务曾被入侵者作过后门。 Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

Cronjob后门

Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。

库后门

几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题： 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种 *** 可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。

内核后门

内核是Unix工作的核心，用于库躲过MD5校验的 *** 同样适用于内核级别，甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。

文件系统后门

入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，"du"，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞： 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。

Boot块后门

在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。

隐匿进程后门

入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序(sniffer)，有许多办法可以实现，这里是较通用的： 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是

amod.tar.gz :

*** 通行。这些 *** 通行后 门有时允许入侵者通过防火墙进行访问。有许多 *** 后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准 *** 端口的通行，管理员可能忽视入侵者的足迹。 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。

TCP Shell 后门

入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在 *** TP端口，许多防火墙允许 e-mail通行的.

UDP Shell 后门

管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。

ICMP Shell 后门

Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

加密连接

管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给 *** 通行后门加密 后，就不可能被判定两台机器间的传输内容了。

盗原神号违法吗

违法。

之一，游戏账号被盗警方一般也无能为力，这个属于黑客的行为，一般派出所是没有侦破条件的！

第二，游戏账号价值无法确定！属于法律的空白！很多地方是不予立案的！因为盗窃要非法占有公私财物！

第三，立案了一般侦破的概率很低，更好是申请账号找回还快点！

LOFTER原神官方账号被盗，为何官号账号也会被盗？

     最近《原神》的玩家过的可谓是非常丰富。先是忙着参加原神光华容彩祭，玩小游戏，看小剧场，再继续整N个648准备19号的复刻卡池。然后又忙着 围观没头没脑的小派蒙，后知后觉的发“哈哈哈哈哈哈”观光打卡成为了最近新晋流量密码。原来，是有一位神秘人士将《原神》官方老福特账号给盗了！！

      据悉，这次的盗号者瞄准的是《原神》在LOFTER平台发布消息的官方账号。没改密码，没发布盗号宣言，也没换名字头像，只是发布了一些奇怪的动态。要么是发一堆之前的视频还乱打tag，要么就是在官方发现之后再次拿回主动权，把澄清被盗号的动态又给删掉了。

     不过，鉴于《原神》的账号之前不是发表情包就是像没有感情的机器人一样转发动态和物料。所以，这次的盗号事件虽然很离谱，但一开始并没有多少玩家知道。

     直到官方账号发布被盗号的声明之后，陆陆续续有玩家跑到账号下留言询问怎么回事？那为何官号账号也会被盗？

一：不安全的 *** 环境

不少侠士喜欢在网吧进行游戏，喧闹的气氛还可以提升游戏热情，尤其是约上几个好友比邻而坐，谈笑间驰骋战场、攻克话本，的确快哉。但是很多不法盗号者也窥见了玩家这一习惯，在网吧等公共上网环境的电脑机器上加载病毒、木马等，这些病毒、木马将可以收集电脑运行过程中一切键入信息以及存储的图片，严重威胁玩家的 *** 信息安全。而很多时候，网吧为了考虑运行速度、软件冲突等因素，不会安装杀毒程序，只是简单以重启还原性的软件来抵御可能存在的病毒与木马，更有甚者，经网吧经营者授意而传播木马的案例屡见不鲜。那么面对这种情况，作为玩家我们应该如何应对呢?诚然，最一劳永逸的 *** 是尽量避免去网吧、网咖等公共上网环境，但是不免太过被动，在解答这个问题之前，让我们先继续看看还有哪些盗号手段。

二：贪小便宜心理

除了游戏运行环境的基础安全问题外，在游戏中我们也要时刻提防江湖上层出不穷的骗术，这些骗术往往也会导致我们的帐号信息泄漏，从而被盗。一般而言，诸多骗术都有一个核心手段，那就是利用他人贪小便宜的心理，其中更具代表性的便是在世界频道上会有一些小号喊话——愿意出资多少多少点券只求带一个低级副本，甚至还可以先钱后带，如果小编是一位“涉世未深”且小具实力的玩家，看到这样的价格怎么能不心动!这要比普通带副本的价格高出十数倍了，还能先钱，看似那名喊话的小号是个诚意满满的土豪，但事实上，想必略微有些经验的玩家看到这样的喊话都会不禁勾起一丝冷笑——骗傻子呢!通常这类骗子的伎俩就是假称点券充值会直接发送至邮箱，而索要上当者的电子邮箱，同时往该邮箱发送一封伪装成充值网站，实则是包含采集功能、或病毒的邮件，如果在贪心或者好奇心的驱使下点开并登录了该网站，那么所登录的帐号信息便会以多种形式反馈给盗号者，他们也就轻易掌握了这些关键性信息，而下载了邮件中所含附件的话，也会释放其中潜藏的病毒、木马，威胁电脑运行安全。这类骗术的应对 *** 非常简单，就是不理会那些“诱人”的喊话陷阱，尤其避免接收陌生人发送的任何可疑邮件、文件。

三：五花八门的“礼”包

众所周知，很多游戏都会投放各种礼包作为活动奖励等，也为了迎合玩家喜好，虽然往往内含东西价值不高，但是本着聊胜于无的心理，玩家们也都会乐此不疲地收集。而在天刀中，骗子们也充分利用了这种普遍性的“收礼”心理，他们会立一个非常好听的礼包名目，在聊天频道大肆宣扬，而实际上这些“礼包”所指向的网站通通都是钓鱼网站，所谓钓鱼网站，顾名思义，是常指伪装成官方网站，窃取用户提交的帐号、密码等私密信息的网站，通常该网站的地址与官方网站非常类似，甚至只有一个字母的差别，如果不仔细区别非常容易掉入陷阱，这些网站会让用户填写帐号、密码，甚至密保问答、动态密码等高度敏感的帐号信息，而在另一端，很可能盗号者已经做好登录游戏的准备，只要用户登录，所有的数据都会即时传送给盗号者。除了认准官方网站，谨慎区分虚假站址之外，我们能做的就是不相信那些非正规渠道的所谓“礼包”，哪怕噱头奖励再丰厚。

以上便是三种最容易导致盗号的直接原因，不难看出，这些不法宵小拥有各种“高科技”手段