Depois de todo o ambiente instalado, precisamos saber se o HLBR está no ar. Como o HLBR é o responsável em fazer a ponte entre as máquinas, o fato de você executar um ping entre máquinas que tem o HLBR no meio já é suficiente para saber que ele está no ar e funcionando.

Porém vamos testar com um ataque. Para vermos a ação do HLBR em tempo real, vá em um console onde o HLBR está instalado e faça:

# tail -f /var/log/hlbr/hlbr.log

Vamos fazer um ataque simulando o vírus CODRED que atacava uma vulnerabilidade de um servidor IIS causando um Buffer Overflow. Supondo que seu servidor Web seja 192.168.10.100, digite no browser:

http://192.168.0.100/GET/default.ida?

Veja no HLBR que o log começa a aparecer com a mensagem:

22/09/2007 13:20:27 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-1) default.ida request

Outro ataque, seria a mudança de diretório em um servidor Web. Este ataque permitia ao invasor navegar na estrutura de disco do servidor Web.

http://192.168.10.100/../..
ou
http://192.168.10.100/../../etc/passwd

Veja no HLBR que o log começa a aparecer com a mensagem:

03/07/2007 17:08:12 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (webattacks-1-re) directory change attempt (unicode,asc,plain)

Ou ainda, um ataque para explorar o Shell das máquinas Windows (ataque que caracterizava o vírus NIMDA):

http://192.168.10.100/system/cmd.exe?dir+c:

Veja no HLBR que o log começa a aparecer com a mensagem:

22/09/2007 13:30:07 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-2-re) (root|cmd|explorer) request