В предыдущей главе мы обсудили распространенные приемы, тактику и мотивы сообщества взломщиков. В этой и следующей главе мы рассмотрим две взломанных системы honeypot. Задача состоит не в том, чтобы научить вас анализировать взломанную honeypot, а в том, чтобы продемонстрировать действия и ход мыслей взломщиков, чтобы они сами научили чему-то вас. Несмотря на то что системы honeypot очень разные, вы все равно заметите схожий образ действия взломщиков. В этой главе мы рассматриваем простую систему Windows 98 desktop, которая была взломана. В следующей главе будет описано нападение на сервер Sun Microsystem с ОС Solaris.
Червяки - это инструменты, которые автоматически применяют описанную тактику, случайным образом обнаруживая уязвимые системы, определяя и взламывая их, а затем используют эти системы для определения и взлома других уязвимых систем. В этой главе описан такой червяк, который взломал систему, входящую в Honeynet.
Нашу Honeynet наводнил поток сканирования UDP порта 137 и TCP порта 139. Сеть подвергалась сканированию этих портов от пяти до десяти раз на день; что-то было не так. Наша цель заключалась в том, чтобы выяснить, что означало это сканирование. Что происходило в Internet и вызвало эту бурную деятельность? На основании портов мы предположили, что сканирование выполнялось в поисках уязвимых мест систем на базе Windows. План состоял в том, чтобы установить honeypot с системой Windows 98, затаиться в засаде и выжидать.
