这篇文章，讲述了当黑客获得root权限后，所做的事情，重点放在他们是如何隐藏踪迹以及之后如何做。

入侵者是谁

　　多数的入侵者并没有考虑太多的策略方面的问题，他们更重视的是轻易地入侵，而非针对某些特定的信息或者某个特定的公司。他们把注意力集中于最有效的几个漏洞利用程序上，然后在互联网上寻找相应的主机——迟早他们会找到适合入侵的机器的……

　　当他们获得root权限这后，第一件事往往是抹去他们的踪迹，他们需要确保系统管理员没有发现系统被侵袭，并且不希望留下任何日志或者他们活动的记录。然后，他们会使用你的机器来扫描网络中的其它系统，或者静静地潜伏，以求获得更多的资料。

　　为了更好地了解他们是如何侵害系统的，我们将沿着一个入侵者的入侵步骤来观察。我们的系统——mozart，上面运行的操作系统是RedHat 5.1。系统在1999年4月27日受到攻击，下面的一些入侵过程的记录，是从系统日志及击键记录中提取的，我们对系统日志及击键都做了验证，所有的系统日志都是在一个受保护的syslog服务器上的，所有的击键都是由一个嗅探器——sniffit捕获的。在本文中，我们称这个入侵者为“他”——因为我们无法得知其真正的性别。

漏洞利用

　　在4月27日的00:13，有一个家伙在域名为1Cust174.tnt2.long-branch.nj.da.uu.net的地方对我们进行扫描，针对了包括imap漏洞在内的几个特定的漏洞，这些入侵者是比较讨厌的，因为他们一下扫描了整个网段。

Apr 27 00:12:25 mozart imapd[939]: connect from 208.252.226.174
Apr 27 00:12:27 bach imapd[1190]: connect from 208.252.226.174
Apr 27 00:12:30 vivaldi imapd[1225]: connect from 208.252.226.174

　　很显然，他找到了一些他所希望的东西，并且在06:52和16:47又回来了。他开始了一次针对mozart机器的彻底扫描，并且确定了这台机器存在着mountd的安全漏洞，这个漏洞是Red Hat 5.1中存在的一个会危及root安全的漏洞，我们可以从/var/log/messages中看到，这个入侵者应该已经获得了超级用户权限，他所使用的工具看上去象是ADMmountd.c或者一些极其类似的程序。

Apr 27 16:47:28 mozart mountd[306]: Unauthorized access by NFS client 208.252.226.174.
Apr 27 16:47:28 mozart syslogd: Cannot glue message parts together
Apr 27 16:47:28 mozart mountd[306]: Blocked attempt of 208.252.226.174 to mount
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~