Соединение с другими портами ни к чему не приводит; узел или разрывает соединение, или возвращает ошибку. Установить соединение с этими портами в дальнейшем вам позволит знание подходящих протоколов обмена. Мы определили, что на компьютере установлена ОС Red Hat 6.2. Кроме того, мы знаем, что, по всей видимости, система взломана сетевым червем и что инсталлирован rootkit. Также мы знаем, что вирус продолжает искать новые жертвы, используя этот компьютер. Достаточно интересно и то, что стандартная инсталляция Red Hat подразумевает установку служб portmap — per, 1рг и BIND-сервера. Но сканирование соответствующих UDP-портов не показало никакой активности. Если бы эти порты находились в режиме ожидания, можно было бы использовать уязвимости стандартной установки Red Hat 6.2. Ситуация похожа на то, что после проникновения в систему злоумышленник (или червь) дезактивировал работающие с этими портами службы. Некоторые специализирующиеся на системе Red Hat черви способны и на это. Вернемся к взлому. Благодаря базе данных SecurityFocus. com можно убедиться в том, что интересующая нас версия службы wuftpd имеет ошибки, следовательно, уязвима для атаки. Одна из атак (та, которую использует червь Ramen) требует знания имени пользователя, зарегистрированного в системе. На тестируемой машине используемый по умолчанию пользователь anonymous принят не был, что является еще одним косвенным доказательством в пользу червя, который после проникновения изменил конфигурацию. Однако другая ошибка в службе wuftpd легко может привести нас к захвату root-привилегий.
Я не собираюсь взламывать этот компьютер, у меня нет на это никаких полномочий. Сканирование портов считается плохим тоном и не приветствуется многими провайдерами, но это законно, по крайней мере там, где я живу. Кроме того, вполне возможно, что этот сайт представлял собой ловушку, специально подготовленную администратором или властями.
