changed:-r-xr-xr-xroot47604Jun316:31:571998/usr/bin/top

changed:-r-xr-xr-xroot9712May101:04:461998/usr/bin/killall

changed:-rws--s--xroot116352Jun120:25:471998/usr/bin/chfn

changed:-rws--s--xroot115828Jun120:25:471998/usr/bin/chsh

changed:drwxr-xr-xroot4096Apr2717:01:161999/usr/sbin

changed:-rwxr-xr-xroot137820Jun509:35:061998/usr/sbin/inetd

changed:-rwxr-xr-xroot7229Nov2600:02:191998/usr/sbin/rpc.nfsd

changed:-rwxr-xr-xroot170460Apr2400:02:191998/usr/sbin/in.rshd

changed:-rwxr-x---root235516Apr422:11:561999/usr/sbin/syslogd

changed:-rwxr-xr-xroot14140Jun3014:56:361998/usr/sbin/tcpd

changed:drwxr-xr-xroot2048Apr416:52:551999/sbin

changed:-rwxr-xr-xroot19840Jul917:56:101998/sbin/ifconfig

changed:-rw-r--r--root649Apr2716:59:541999/etc/passwd

正如我們所看到的，有大量的二進製文件被改動過了，其中/etc/passwd中的兩個帳號crak0及rewt已經被移除，所以咱們的入侵者隻能通過上麵改過的東西，來實現他後門的裝載。同時還有兩個文件，/usr/sbin/sniff.pid有及/usr/sbin/tcp.log。這其中/usr/sbin/sniff.pid裏存放的是嗅探器的pid，而/usr/sbin/tcp.log裏則存放著這個入侵者所得到的所有信息。這裏入侵者的嗅探器命名為rpc.nfsd--這裏的嗅探器應該是linsniff，編譯後替換了正常的rpc.nfsd，這樣即便係統重啟，我們的嗅探器一樣能順利自己啟動。下麵是我們對/usr/sbin/sniff.pid運行strings命令的結果選摘。

mozart#strings/usr/sbin/rpc.nfsd|tail-15

cantgetSOCK_PACKETsocket

cantgetflags

cantsetpromiscuousmode

-----[CAPLENExceeded]

-----[TimedOut]

-----[RST]

-----[FIN]

%s=>

%s[%d]

sniff.pid

eth0

tcp.log

cantopenlog

rm%s

在檢查了上麵這些信息之後，我決定仍將這台機器放在網絡上，因為我對入侵者下一步想做什麼，相當感興趣，而且我還不能讓這台honeynet有任何細微的蜘絲馬跡，同時把/var/sbin/tcp.log裏的數據刪除。

歸去來兮

一段日子之後，入侵者又回來了，通過記錄他的擊鍵，我們可以輕易判斷出他裝的後門是/bin/login，這個程序允許用戶以用戶名rewt密碼satori來登陸--登陸便是root了，其中密碼satori是rootkitlrk4中的默認的。

他檢查了他的嗅探器，以確定嗅探器現在還能正常動作，以及在過去的幾天中，是否抓到了某些用戶的帳號，他將嗅探器進程殺掉後，離開係統了。但一會之後，他馬上又回來了，重新開啟了他的嗅探器--說實話，我不太明白他為什麼這麼做。

這個進程持續了很長時間，此後的四天中，這個入侵者天天都會登陸上來看一看該嗅探器是否抓到了有價值的數據。並沒有做更多的事情，於是我決定將機器從網絡中斷開了，因為從他這裏，我無法學到更多東西。

結論

現在我們可以從頭到尾地了解了一個入侵者的侵襲過程了--當他們獲得了一個係統的最高權限後，首先看看是否有其它人在線，然後他們通過一些動作來隱藏蹤跡、清除日誌、刪除或者修改某些特定的文件，當他們認為自己安全隱藏時，他們就開始做一些對係統侵害更大的事情了。這種入侵方式最常出現在一種新的漏洞被揭示，漏洞利用程序公布的時候--這時這些入侵者需要的僅是非常簡單的技巧了。因此如果你是一個係統管理員的話，我建議應該要盡量地完善你係統的安全性，基本的一些防禦會使你的係統抵擋得住大多數的攻擊。