HACKER
ATAQUE POR MONITORAÇÃO
Os ataques por monitoração são baseados em software de
monitoração de rede conhecido como "sniffer",
instalado surrepticiamente pelos invasores.
O sniffer grava os primeiros 128 bytes de cada sessão login,
telnet e FTP session vista naquele segmento de rede local,
comprometendo TODO o tráfego de/para qualquer máquina naquele
segmento, bem como o tráfego que passar por aquele segmento.
Os dados capturados incluem o nome do host destino, o username e
a password.
A informação é gravada num arquivo posteriormente recuperado
pelo invasor para ter acesso a outras máquinas.
Em muitos casos os invasores obtem acesso inicial aos sistemas
usando uma das seguintes técnicas:
Obtem o arquivo de passwords via TFTP em sistemas impropriamente
configurados
Obtem o arquivo de password de sistemas rodando versões
inseguras do NIS
Obtem acesso ao sistema de arquivos locais via pontos exportados
para montagem com NFS, sem restrições
Usam um nome de login e password capturada por um sniffer rodando
em outro sistema.
Uma vez no sistema, os invasores obtem privilegios de root
explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc
integer division, e arquivos utmp passíveis de escrita por todo
mundo ou usando uma password de root capturada.
Eles então instalam o software sniffer, registrando a
informação capturada num arquivo invisível.
Adicionalemente, eles instalam cavalos de Troia em substituição
e uma ou mais dentre os seguintes arquivos do sistema, para
ocultar sua presença:
/bin/login
/usr/etc/in.telnetd
/usr/kvm/ps
/usr/ucb/netstat
![]() |
![]() |
![]() |