Questões de Informática / Microinformática do ano 2002

Texto CE – questões de 36 a 38

Os trechos abaixo foram retirados de um arquivo de log referente a acessos a um servidor http.

Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao servidor http mencionado nesse texto.

Os logs foram gerados pelo MS IIS.

• C. Certo
• E. Errado

Texto CE – questões de 36 a 38

Os trechos abaixo foram retirados de um arquivo de log referente a acessos a um servidor http.

Com base no texto CE, julgue os itens abaixo, referentes aos ataques ao servidor http mencionado nesse texto.

O atacante fez uma cópia de backup da página original.

• C. Certo
• E. Errado

O administrador da rede Alfa recebeu diversas reclamações, de administradores de outras redes, de que uma de suas máquinas estaria gerando tráfego suspeito. A máquina em questão é um servidor Unix, servidor03 (endereço IP 192.168.11.1). Abaixo, são mostradas as porções relevantes dos resultados da execução, no referido servidor, de alguns comandos.

Além das informações acima, em uma inspeção dos módulos carregados no kernel, não foi apontada nenhuma anormalidade. Nesse caso, é correto concluir que o servidor03 sofreu um comprometimento de root e que

não se trata de um rootkit na forma de um LKM.

• C. Certo
• E. Errado

O administrador da rede Alfa recebeu diversas reclamações, de administradores de outras redes, de que uma de suas máquinas estaria gerando tráfego suspeito. A máquina em questão é um servidor Unix, servidor03 (endereço IP 192.168.11.1). Abaixo, são mostradas as porções relevantes dos resultados da execução, no referido servidor, de alguns comandos.

Além das informações acima, em uma inspeção dos módulos carregados no kernel, não foi apontada nenhuma anormalidade. Nesse caso, é correto concluir que o servidor03 sofreu um comprometimento de root e que

um telnet na porta 12345 do servidor03 chamará o programa suspeito, sendo a melhor forma de avaliar o que ele faz.

• C. Certo
• E. Errado

O administrador da rede Alfa recebeu diversas reclamações, de administradores de outras redes, de que uma de suas máquinas estaria gerando tráfego suspeito. A máquina em questão é um servidor Unix, servidor03 (endereço IP 192.168.11.1). Abaixo, são mostradas as porções relevantes dos resultados da execução, no referido servidor, de alguns comandos.

Além das informações acima, em uma inspeção dos módulos carregados no kernel, não foi apontada nenhuma anormalidade. Nesse caso, é correto concluir que o servidor03 sofreu um comprometimento de root e que

o programa suspeito executa um unlink antes de se tornar daemon, evitando aparecer no sistema de arquivos.

• C. Certo
• E. Errado

O administrador da rede Alfa recebeu diversas reclamações, de administradores de outras redes, de que uma de suas máquinas estaria gerando tráfego suspeito. A máquina em questão é um servidor Unix, servidor03 (endereço IP 192.168.11.1). Abaixo, são mostradas as porções relevantes dos resultados da execução, no referido servidor, de alguns comandos.

Além das informações acima, em uma inspeção dos módulos carregados no kernel, não foi apontada nenhuma anormalidade. Nesse caso, é correto concluir que o servidor03 sofreu um comprometimento de root e que

é carregado no boot, acarretando, assim, o comprometimento de algum arquivo de inicialização.

• C. Certo
• E. Errado

O administrador da rede Alfa recebeu diversas reclamações, de administradores de outras redes, de que uma de suas máquinas estaria gerando tráfego suspeito. A máquina em questão é um servidor Unix, servidor03 (endereço IP 192.168.11.1). Abaixo, são mostradas as porções relevantes dos resultados da execução, no referido servidor, de alguns comandos.

Além das informações acima, em uma inspeção dos módulos carregados no kernel, não foi apontada nenhuma anormalidade. Nesse caso, é correto concluir que o servidor03 sofreu um comprometimento de root e que

as cadeias de caracteres podem ser inspecionadas, caso a imagem executável do programa suspeito possa ser localizada no sistema de arquivos /proc.

• C. Certo
• E. Errado

Com relação aos comprometimentos de máquinas originados a partir da exploração de uma sobrecarga de buffer (buffer overflow), julgue os itens abaixo.

O comprometimento independe da linguagem utilizada na implementação do programa específico que tem seu buffer sobrecarregado.

• C. Certo
• E. Errado

Com relação aos comprometimentos de máquinas originados a partir da exploração de uma sobrecarga de buffer (buffer overflow), julgue os itens abaixo.

O buffer overflow consiste em injetar uma cadeia de caracteres longa o suficiente para ocupar totalmente o buffer atacado, seguindo-se uma chamada de sistema que executa o código malicioso.

• C. Certo
• E. Errado

Com relação aos comprometimentos de máquinas originados a partir da exploração de uma sobrecarga de buffer (buffer overflow), julgue os itens abaixo.

O buffer overflow genérico utiliza, na sua implementação, o fato de que, na cadeia de caracteres do buffer, só podem ocorrer caracteres distintos do delimitador de cadeias, sendo, então, normalmente utilizado no preenchimento do buffer o código correspondente ao NOOP do sistema-alvo, facilitando a estimação do endereço de retorno da chamada de sistema.

• C. Certo
• E. Errado