攻击开始
第一次成功的入侵 honeypot 网络是发生在 2000 年六月四日。令人讶异的是,这次事件距离 honeypot 网络建立才隔几天。而且当初 honeypot 建立时,并没有任何公共宣传。这次的攻击事件发生得这么快,让我们见识到黑帽骇客是用如此迅雷不及掩耳的速度,找到网络上的新系统。再说,honeypot 网络系统根本没有什么珍贵的信息藏在里面。这个系统在网际网络上算是平淡无奇的。连 honeypost 系统也会遭到攻击,告诉我们,虽然那些拥有珍贵资料,诸如客户资料或者信用卡号码等系统的确会成为骇客的主要目标,但是,他们却连没有珍贵资料的系统也不放过。
那些骇客们所使用的是一种普遍用在 Solaris 操作系统的入侵工具,叫做rpc.ttdbserv 来攻击 honeypot 并取得系统管理者的权限。rpc.ttdbserv 工具被列在SANS 十大黑名单之内,是其中排名第三、最常被骇客使用的入侵技术。在系统被入侵成功的时候,骇客们马上建立两个新的拥有系统管理权限的使用者帐号,以便他们日后回来的时候登入系统用。他们并建立一个 rootshell(一个可以用系统管理者的角色执行的 shell script)听取系统某个特定的 TCP 埠,如此一来他们就可以不必经过系统认证,便可以取得系统管理权限。
使用 Rootkit
在打通后门之后,我们的入侵者接下来马上去下载并在被破解的系统上安装一个 rootkit。用很简单的口语来说,rootkit 是一套程序,用来取代原先常用的系统工具程序,并且帮骇客们掩护他们在系统中所动的各种手脚。典型的用在 Unix 系统的 rootkit 取代原先的某些程序,像是取代 ps,而隐藏某些系统 process,取代 netstat,而隐藏某些网络连结,取代 ls 而隐藏某些档案,以及其它工具程序,像是 packet sniffer 来监视网络信息(尤其是密码)。这个 rootkit 甚至可以移除任何会露出马脚的系统日志档案(log files)。在我们的攻击者所使用的 rootkit 中,我们发现了有 Pico 文字编辑软件。这是一个简单而易于使用的 Unix 文字编辑软件(这是相对于 vi 来说的,vi 是在大多数的 Unix 系统上都可以找到的热门编辑软件)。由 Pico 存在的事实,很明显的可以看出这些骇客并不具有很高深的 Unix 技巧。
