23.11 Trojanische Pferde 
Besonders beliebt bei Unix-Systemen, da auf besonders kreative Weisen unterbringbar, sind trojanische Pferde, oder kurz Trojaner. <Dabei handelt es sich um Programme, die sich entweder so gut verstecken, dass sie nicht gefunden werden und einem Angreifer in der Regel eine Remoteshell zur Verfügung stellen, oder um Programme, die sich als andere Programme ausgeben, in Wirklichkeit aber Tätigkeiten im Sinne des Angreifers, der sie auf dem System platzierte, durchführen.>
Diese werden je nach Kreativität und Know-how-Level des Angreifers so gut versteckt, dass selbst ein äußerst erfahrener Administrator sie kaum aufspüren kann. Daher gilt: Unterschätzen Sie die Gefahr von trojanischen Pferden nicht!
inetd
Die wohl häufigste Form einer simplen Backdoor ist die Rekonfiguration des inetd-Superservers, wobei eine Rootshell an einen möglichst unauffälligen Port, etwa 49398, gebunden wird. Diese Methode wird allerdings von den meisten Administratoren entdeckt: Externe Portscans und Programme wie lsof oder netstat helfen Ihnen bei der Erkennung solcher simplen TCP- oder UDP-Backdoors.
Daher gehen einige Angreifer noch weiter und modifizieren Ihre Analyse-Tools.
Kernel-Module
Ganz gerissene Angreifer kommen des Öfteren auch auf die Idee, ihre (nicht immer selbst geschriebenen) Hintertüren durch andere Protokolle, etwa ICMP, zu tunneln und Kernel-Modifikationen für diverse Formen der Backdoors zu erstellen. Die Bandbreite der Möglichkeiten reicht von Kernel-Modulen, die einen Prozess in der Prozesstabelle oder ein Verzeichnis im Dateisystem verstecken, bis hin zu Kernel-Modulen, die sich selbst verstecken und verschlüsselte Verbindungen über eigene Protokolle realisieren.
