Ловилки - программы, имитирующие состояние системы перед авторизацией юзера, и осуществляющие этот ввод ( с записью в известное место ).
Ниже мы рассмотрим некоторые разновидности их, применявшиеся в дисплейных классах 13-1[5,6] осенью '99.
Шамгуевская ловилка.
Названа по имени Шамгуя - легендарного, а следовательно, не существующего. Хинт - Шамгуй :== 109:[AA_SHAMGU] ;-)
Наиболее ламерски написанная, очевидно, на Си, примерно в ноябре. Исходников не видел, да и нафиг они кому нужны? На CTRL+Y отзывается -
Interrupt
и продолжает работу. На любое сочетание имени и пароля - отзывается User authorization failure.
Словленные пароли кладет в один файл - D.A, который постоянно держит открытым.

Черниковская ловилка.
Названа по имени [отгадайте , кого - правильно] сами знаете кого. Написана на Си, им же. Была начата в октябре 99 года, и постоянно улучшалась ;-) После известных событий 18 декабря '99, когда база паролей на ~150 юзеров была опубликована и растащена по директориям, исходники ловилки были захапаны кое-кем еще. Практически полностью эмулирует ввод имени и пароля. Грамотно отзывается на CTRL-Y и CTRL-Z - первого игнорирует, на второго пишет -
*EXIT*
Error reading command input
End of file reached

После ввода имени и пароля генерит .com файл, с помощью которого корректно логинит юзера. Словленный пароль и имя помещает в файл, носящий имя словленного юзера.
Update: Не логинит. Логинила когда-то через set host. Сейчас set host не работает.
Например:
$ type ao_cherni.
AO_CHERNI
s88***

$

Обнаружение и срубание
Обнаруживается по нескольким признакам.
a).
1. Залогиниться под цифровым юзером от 1 до 10 - например username = 7 , password = 7. [не работает. цифровых юзеров больше нет.]

2. Если интервал времени между нажатием ввода после пароля и появлением первой надписи типа "Welcome to vax vms on node VX6400" или что-то вроде этого превышает 0.5-1 секунду, то это уже подозрительно.
3. Если на цифровой логин и пароль терминал говорит - User authorisation failure- то это тоже подозрительно, хотя не исключено, что это просто терминал, под которым порядка 5 раз пытались логиниться с неверным паролем. Такой терминал следует оставить в покое на ~10минут. Ломиться на такой терминал со своим настоящим Username/Password очевидно не стоит ;-)
4. Исполнить команду WHO , или SH U/F , она же SHOW USERS /FULL .
В отсутствии ловилки ее вывод должен быть похож на следующее-
UsernameProcesss nameProcess numberTerminal
77218000CD_LTA7890:  (1315/TT8)
^^^^^^ Номер, под которым вы залогинились. ^^^^^ Терминал, на котором вы сейчас сидите.
..........................................
............ Какие - то юзера ...............
......................................
После этого спокойно можно делать LOGOUT и логиниться под собой.
Если же вы сели на черниковскую ловилку, то вывод команды WHO будет, например , такой :
UsernameProcesss nameProcess numberTerminal
77218000CD_RTA10:  (VX6400::EN_IVANOV)
^^^^^^ Номер, под которым вы залогинились.
.................................................
............... Какие - то юзера ................
................................................
EN_IVANOVEN_IVANOV21800053_LTA7890:  (1315/TT8)
^^^^ Юзер, из-под которого была запущена ловилка. ПОМНИТЕ : ОН НИ В ЧЕМ НЕ ВИНОВАТ !!! Не надо сносить все файлы в его директории ;-) ^^^^^ Терминал, на котором вы сейчас сидите.
..................................................
................. Еще какие - то юзера .................
.............................................
Это нехорошо. Ее надо срубить. Например так - логиниться под цифровым юзером, сразу после ввода пароля либо лихорадочно нажимать на CTRL-Y или F5, либо этот CTRL-Y нажать и держать - есть автоповтор. Я сказал - СРАЗУ после ввода пароля. Буквально в течении 0.1 секунды. После этого ловилка срубается, и вы оказываетесь в директории того человека, из-под которого была запущена ловилка. Оттуда сказать logout.

Внимание ! Ловилки теперь (01.10.00) не умеют логинить юзера. Все что они умеют - говорить UserAuth.Failure. Поэтому вся проверка сводится к следующему - ввести цифрового юзера ( 1/1 .... 24/24 ) и посмотреть, что получится ( не забыв нажать Ctrl-Y сразу после ввода пароля, и много раз, чтобы не выполнился login.com цифрового юзера - ловилка может быть и там, и активизироваться по алиасу logout/lo/logoff. Если получится залогиниться- можно выходить и вводить свое имя/пароль. Если нет - лучше не рисковать.
Спиридоновская DCL-ловилка.
Написано, опять же, понятно кем. Написана задолго до описываемых событий. Была обнаружена следующим образом - была запущена каким-то ламером, а файл, в который предполагалось складывать пароли , не был открыт для записи тому юзеру, из-под которого была запущена, в результате после первого же ввода Username/Password, ессно цифровых, срубилась. На любое сочетание Username/Password отвечает User authorization failure. Необычность ее заключается в том, что она написана на командном языке VMS - DCL. Пароли кладет в один файл. По CTRL-Y не срубается. Народ развлекался тем, что вставлял эту ловилку в login.com людей, очевидно, забывших сделать logout. В результате сразу после входа систему у человека опять возникало приглашние ввести пароль. Что делал человек - правильно , вводил свой пароль.

(c)LineFeed 1999-2000 , http://stvax.chat.ru , stvax@mail.ru