home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1993 / Internet Info CD-ROM (Walnut Creek) (1993).iso / inet / ddn-news / ddn-mgt-bulletin-43.txt

< prev

next >

Wrap

Text File  |  1991-07-10  |  8KB  |  220 lines

---

1. ********************************************************************** 
2. DDN MGT Bulletin 43              DCA DDN Defense Communications System   
3. 3 Nov 88                         Published by: DDN Network Info Center
4.                                     (NIC@SRI-NIC.ARPA)  (800) 235-3155
5.  
6.  
7.                         DEFENSE  DATA  NETWORK
8.  
9.                          MANAGEMENT  BULLETIN
10.  
11. The DDN MANAGEMENT BULLETIN is distributed online by the DDN Network
12. Information Center under DCA contract as a means of communicating
13. official policy, procedures and other information of concern to
14. management personnel at DDN facilities.  Back issues may be read
15. through the TACNEWS server ("@n" command at the TAC) or may be
16. obtained by FTP (or Kermit) from the SRI-NIC host [26.0.0.73 or
17. 10.0.0.51] using login="anonymous" and password="guest".  The pathname
18. for bulletins is DDN-NEWS:DDN-MGT-BULLETIN-nn.TXT (where "nn" is the
19. bulletin number).
20. **********************************************************************
21.  
22.              BSD 4.2 AND 4.3 SOFTWARE PROBLEM RESOLUTION
23.  
24.  
25. A virus is currently affecting a number of network hosts and may affect
26. yours.  It is spread via the electronic mail system (SMTP and
27. Sendmail) and attacks machines running 4.3 and 4.2 UNIX BSD and
28. possibly SUN 3.X machines.  The following are three messages which
29. provide some background information about the virus, and supply a fix.
30. The fix will prevent reinfection by the virus, but it will not fix any
31. damage the virus has done.
32.  
33. If you have any further questions about this bulletin, please contact
34. the Network Information Center at (800) 235-3155 or (415) 859-3695.
35. This fix is also available for FTP from SRI-NIC.ARPA as
36. NETINFO:VIRUS-PATCH.TXT.
37.  
38.  
39. BACKGROUND:
40.  
41.  2-Nov-88 23:45:39-PST,1520;000000000000
42. Received: from ames.arc.nasa.gov by SRI-NIC.ARPA with TCP; Wed, 2 Nov 88 23:26:54 PST
43. Received: Wed, 2 Nov 88 23:28:00 PST by ames.arc.nasa.gov (5.59/1.2)
44. Date: Wed, 2 Nov 88 23:28:00 PST
45. From: Peter E. Yee <yee@ames.arc.nasa.gov>
46. Message-Id: <8811030728.AA18199@ames.arc.nasa.gov>
47. To: mkl@sri-nic.arpa
48. Subject: Internet VIRUS alert
49. Cc: postmaster@sri-nic.arpa, tcp-ip@sri-nic.arpa
50. X-Lines: 19
51.  
52. We are currently under attack from an Internet VIRUS.  It has hit UC Berkeley,
53. UC San Diego, Lawrence Livermore, Stanford, and NASA Ames.  The virus comes in
54. via SMTP, and then is able to attack all 4.3BSD and SUN (3.X?) machines.  It
55. sends a RCPT TO that requests that its data be piped through a shell.  It copies
56. in a program, compiles and executes it.  This program copies in VAX and SUN 
57. binaries that try to replicate the virus via connections to TELNETD, FTPD, 
58. FINGERD, RSHD, and SMTP.  The programs also appear to have DES tables in them.
59. They appear in /usr/tmp as files that start with the letter x.  Removing them
60. is not enough as they will come back in the next wave of attacks.  For now
61. turning off the above services seems to be the only help.  The virus is able
62. to take advantage of .rhosts files and hosts.equiv.  We are not certain what the
63. final result of the binaries is, hence the warning.
64.  
65. I can be contacted at (415) 642-7447.  Phil Lapsley and Kurt Pires at this
66. number are also conversant with the virus.  
67.  
68.                             -Peter Yee
69.                             yee@ames.arc.nasa.gov
70.                             ames!yee
71.  
72.  
73. SOFTWARE PATCH:
74.  
75.  3-Nov-88 04:06:58-PST,4162;000000000001
76. Received: from okeeffe.Berkeley.EDU by SRI-NIC.ARPA with TCP; Thu, 3 Nov 88 03:37:45 PST
77. Received: by okeeffe.Berkeley.EDU (5.61/1.29)
78.     id AA22168; Thu, 3 Nov 88 02:56:25 PST
79. Date: Thu, 3 Nov 88 02:56:25 PST
80. From: bostic%okeeffe.Berkeley.EDU@ucbvax.Berkeley.EDU (Keith Bostic)
81. Message-Id: <8811031056.AA22168@okeeffe.Berkeley.EDU>
82. To: tcp-ip@sri-nic.arpa
83. Subject: Virus fixes
84.  
85. Subject: Fixes for the virus
86. Index: usr.lib/sendmail/src/srvrsmtp.c 4BSD
87.  
88. Description:
89.     There's a virus running around; the salient facts.  A bug in
90.     sendmail has been used to introduce a virus into a lot of
91.     Internet UNIX systems.  It has not been observed to damage the
92.     host system, however, it's incredibly virulent, attempting to
93.     introduce itself to every system it can find.  It appears to
94.     use rsh, broken passwords, and sendmail to introduce itself
95.     into the target systems.  It affects only VAXen and Suns, as
96.     far as we know.  
97.  
98.     There are three changes that we believe will immunize your
99.     system.  They are attached.
100.  
101.     Thanks to the Experimental Computing Facility, Center for
102.     Disease Control for their assistance.  (It's pretty late,
103.     and they certainly deserved some thanks, somewhere!)
104.  
105. Fix:
106.     First, either recompile or patch sendmail to disallow the `debug'
107.     option.  If you have source, recompile sendmail after first
108.     applying the following patch to the module svrsmtp.c:
109.  
110.         *** /tmp/d22039    Thu Nov  3 02:26:20 1988
111.         --- srvrsmtp.c    Thu Nov  3 01:21:04 1988
112.         ***************
113.         *** 85,92 ****
114.               "onex",        CMDONEX,
115.           # ifdef DEBUG
116.               "showq",    CMDDBGQSHOW,
117.         -     "debug",    CMDDBGDEBUG,
118.           # endif DEBUG
119.           # ifdef WIZ
120.               "kill",        CMDDBGKILL,
121.           # endif WIZ
122.         --- 85,94 ----
123.               "onex",        CMDONEX,
124.           # ifdef DEBUG
125.               "showq",    CMDDBGQSHOW,
126.           # endif DEBUG
127.         + # ifdef notdef
128.         +     "debug",    CMDDBGDEBUG,
129.         + # endif notdef
130.           # ifdef WIZ
131.               "kill",        CMDDBGKILL,
132.           # endif WIZ
133.  
134.     Then, reinstall sendmail, refreeze the configuration file,
135.     using the command "/usr/lib/sendmail -bz", kill any running
136.     sendmail's, using the ps(1) command and the kill(1) command,
137.     and restart your sendmail.  To find out how sendmail is 
138.     execed on your system, use grep(1) to find the sendmail start
139.     line in either the files /etc/rc or /etc/rc.local
140.  
141.     If you don't have source, apply the following patch to your
142.     sendmail binary.  SAVE A COPY OF IT FIRST, IN CASE YOU MESS
143.     UP!  This is mildly tricky -- note, some versions of strings(1),
144.     which we're going to use to find the offset of the string 
145.     "debug" in the binary print out the offsets in octal, not
146.     decimal.  Run the following shell line to decide how your
147.     version of strings(1) works:
148.  
149.         /bin/echo 'abcd' | /usr/ucb/strings -o 
150.  
151.     Note, make sure the eight control 'G's are preserved in this
152.     line.  If this command results in something like:
153.  
154.         0000008 abcd
155.  
156.     your strings(1) command prints out locations in decimal, else
157.     it's octal.
158.  
159.     The patch script for sendmail.  NOTE, YOUR OFFSETS MAY VARY!!
160.     This script assumes that your strings(1) command prints out
161.     the offsets in decimal.  
162.  
163.         Script started on Thu Nov  3 02:08:14 1988
164.         okeeffe:tmp {2} strings -o -a /usr/lib/sendmail | egrep debug
165.         0096972 debug
166.         okeeffe:tmp {3} adb -w /usr/lib/sendmail
167.         ?m 0 0xffffffff 0
168.         0t10$d
169.         radix=10 base ten
170.         96972?s
171.         96972:        debug
172.         96972?w 0
173.         96972:        25701    =    0
174.         okeeffe:tmp {4} ^D
175.         script done on Thu Nov  3 02:09:31 1988
176.  
177.     If your strings(1) command prints out the offsets in octal,
178.     change the line "0t10$d" to "0t8$d".
179.  
180.     After you've fixed sendmail, move both /bin/cc and /bin/ld to
181.     something else.  (The virus uses the cc and the ld commands
182.     to rebuild itself to run on your system.)
183.  
184.     Finally, kill any processes on your system that don't belong there.
185.     Suspicious ones have "(sh)" or "xNNNNNNN" where the N's are random
186.     digits, as the command name on the ps(1) output line.
187.  
188.     One more thing, if you find files in /tmp or /usr/tmp that 
189.     have names like "xNNNNNN,l1.c", or "xNNNNNN,sun3.o", or
190.     "xNNNNNNN,vax.o" where the N's are random digits, you've been
191.     infected.
192.  
193. ------------------
194.  3-Nov-88 09:09:57-PST,898;000000000000
195. Received: from okeeffe.Berkeley.EDU by SRI-NIC.ARPA with TCP; Thu, 3 Nov 88 08:14:43 PST
196. Received: by okeeffe.Berkeley.EDU (5.61/1.29)
197.     id AA22875; Thu, 3 Nov 88 08:13:50 PST
198. Date: Thu, 3 Nov 88 08:13:50 PST
199. From: bostic%okeeffe.Berkeley.EDU@ucbvax.Berkeley.EDU (Keith Bostic)
200. Message-Id: <8811031613.AA22875@okeeffe.Berkeley.EDU>
201. To: tcp-ip@sri-nic.arpa
202. Subject: Virus posting #2
203.  
204. Subject: Virus posting #2
205. Index: usr.lib/sendmail/src/srvrsmtp.c 4BSD
206.  
207. Description:
208.     This is a followup message, to clear up two points.
209.     First off, a better value to use to PATCH your sendmail
210.     executable is 0xff; if you're using the patch script,
211.     change:
212.         96972?w 0
213.     to:
214.         96972?w 65535
215.  
216.     Secondly, note, if, when you run strings(1) on your sendmail
217.     executable, greping for ``debug'', you don't get any output,
218.     don't worry about the problem, your system is already (we
219.     think) safe.
220.