Нападение


26 апреля 2000 года в 6:43 Snort предупредила нас, что одна из систем honeypot была атакована при помощи команды NOP (no operation) - это указывало на атаку путем переполнения буфера, направленную на порт 53. В этом случае Snort определила начало атаки и сделала предупреждающую запись в файл /var/log/messages, который постоянно просматривается при помощи Swatch. (Внимание! В этой главе IP-адрес 172.16.1.107 принадлежит honeypot. Все остальные системы - это IP-адреса, используемые взломщиками.)
Honeypot ежедневно подвергается многочисленному зондированию, сканированию, получает постоянные запросы, но такое предупреждение, как это, немедленно привлекло наше внимание, поскольку оно указывало на то, что система, скорее всего, взломана. И действительно, меньше чем через две минуты мы получили по электронной почте сообщение о том, что система 213.28.22.189 обратилась к взломанному ресурсу с запросом об установлении соединения TELNET.
Затем в системном журнале подтверждается установление соединения TELNET. Обратите внимание на то, как системный журнал фиксирует учетные записи пользователя, и на тот факт, что взломщик получает привилегии администратора.
Наш взломщик получил доступ привилегированного пользователя и теперь может управлять системой. Как он смог это сделать? Что случилось? Что взломщик делал после того, как получил этот доступ? По каким причинам он решил атаковать систему?