Пример отчет на 1 июля 2004 года.
IP: 69.44.xxx.xxx
Hostname: ls1.xxx-xxx.biz
==============================================================================
I. Локальные политики безопасности
==============================================================================
1) Проверка запускаемых (бинарных) файлов в каталоге /tmp
Опасность: нет
2) Проверка на вредоносные программы (бэкдоры, трояны, руткиты, биндшеллы, черви, снифферы)
Опасность: нет
3) Проврека локальных служб и интерфесов
Опасность: нет
4) Проверка ядра ОС (kernel) 2.4.20-28.9
Опасность: ЕСТЬ
5) Проверка уязвимости к локальным DoS атакам
Статус: нормальная устойчивость
==============================================================================
II. Аудит по запущенным внешним сетевым сервисам с комментариями
==============================================================================
1) tcpmux (порт 1)
Опасность: нет
2) ftp (порт 21) PureFTPd 1.0.12
Опасность: нет
3) OpenSSH 3.7.1p1 (protocol 1.99) (порт 22).
Опасность: нет
4) Exim smtpd 4.34 (порт 25)
Опасность: нет
5) ISC Bind 9.2.1(порт 53)
Опасность: нет
6) Apache httpd 1.3.31 (порт 80)
Опасность: нет
7) pop3 (порт 110)
Опасность: нет
8) rpcbind (порт 111)
Опасность: нет
9) UW Imapd 2003.339-cpanel (порт 143)
Опасность: нет
10) Apache httpd (порт 443)
Опасность: нет
11) Exim smtpd/ssl 4.34 (порт 465)
Опасность: нет
12) UW Imapd/ssl 2003.339-cpanel (порт 993)
Опасность: нет
13) pop3/ssl (порт 995)
Опасность: нет
14) MySQL 4.0.18-standard (порт 3306).
Опасность: некритично
15) Проверка уязвимости к удаленным DoS-атакам
Статус: нормальная устойчивость.
16) Welcome to Nereal! (v 1.4.2) (порт 4000)
Опасность: нет
17) jakarta-tomcat-4.0.3 (порт 8009)
18) jakarta-tomcat-4.0.3 (порт 8082)
Статус:Возможность удаленной DoS-атаки
==============================================================================
III. Детализированный анализ Web-сервера
==============================================================================
1) Доступен HTTP-метод PUT.
Опасность: некритично
2) Доступен HTTP-метод DELETE.
Опасность: некритично
3) Доступен HTTP-метод PROPFIND.
Опасность: некритично
4) Доступен HTTP-метод PROPPATCH.
Опасность: некритично
5) Доступен HTTP-метод TRACE.
Опасность: некритично
6) Доступен запрос /~root .
Опасность: некритично
7) Доступна к просмотру папка Apache установленная по умолчанию /icons/
Опасность: некритично
8) Доступна к просмотру директория Apache установленная по умолчанию /manual/images/
Опасность: некритично
9) TRACE-опция может привести к XSS-атакам (межсайтовый скриптинг)
Опасность: некритично
10) TRACK-опция (TRACE-алиас) может привести к XSS-атакам (межсайтовый скриптинг)
Опасность: некритично
11) Существует директория /manual/
Опасность: некритично
12) Найдены следующие скрипты и папки: /cgi-sys/cgiecho, /cgi-sys/domainredirect.cgi, /cgi-sys/entropysearch.cgi,
/cgi-sys/FormMail-clone.cgi, /cgi-sys/mchat.cgi, /cgi-sys/realsignup.cgi, /img-sys/, /java-sys/, /cgi-sys/Count.cgi
Данные скрипты и папки часто устанавливаются по умолчанию в хостинговых компаниях.
В данном случае установлены программой cpanel.
Не содержат уязвимостий, но в некоторых случаях есть опасность получения атакующим привилегий
системного администратора через web. В связи с этим необходимо своевременно обновлять ПО cpanel.
13) /cgi-sys/Count.cgi
Опасность: есть
14)/cgi-sys/guestbook.cgi
Опасность: есть
==============================================================================
Суммарно:
==============================================================================
Найдено критических ошибок: 0
Некритических ошибок:
Вывод: плохо защищенный сервер!
Дополнительно:
При более подробном изучении на сервере найдены следы многократных попыток взлома,
с возможно удачным исходом. Взломщики владеют как минимум одной учетной записью,
что является серьезностью уязвимостью.
На сервере не функционирует rpm (испорчена база данных пакетов), что является
серьезным препятствием к каким-либо попыткам восстановления системы.