home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / security / mys00376.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  4.3 KB  |  102 lines

  1.  
  2. ________________________________________________________________
  3.  
  4.  
  5.                 CIAC
  6.         Computer Incident Advisory Capability
  7.  
  8.             Information Bulletin
  9. ________________________________________________________________
  10.  
  11.  
  12.                             October 9, 1989
  13.                             Notice A-1
  14.  
  15.     CIAC (the Computer Incident Advisory Capability) has learned
  16. of a series of attacks on a set of UNIX computers attached to the
  17. Internet.  This series of attacks targets anonymous ftp to gain access
  18. to the password file, then uses accounts from that file that use
  19. easily guessed passwords to gain access to the machine.  Once access
  20. is gained to the machine, a trojan horse is installed in the Telnet
  21. program (as described in a previous CIAC bulletin) to record further
  22. user accounts and passwords.  The TFTP facility has also been utilized
  23. in this sequence of breakins.  This bulletin describes the nature of
  24. the threat, and suggests a procedure to protect your computers.
  25.  
  26.     This is a limited distribution information bulletin to warn
  27. your site of a series of hacker/cracker attacks on the Internet.  This
  28. bulletin is being sent to you because our records indicate that your
  29. site is connected to the Internet.  Please inform CIAC if this is not
  30. true.  Also, if you are not the CPPM or CSSM for your site, will you
  31. please promptly forward this bulletin to that person or persons?
  32.  
  33.     There has been a series of breakins into UNIX machines
  34. connected to the Internet.  These breakins at first were largely into
  35. systems in North and South Carolina, but they have spread rapidly.
  36. They appear to be the work of a group of hackers with fairly
  37. identifiable patterns of attack.  You should be aware of these attack
  38. patterns, and should take measures described below to prevent breakins
  39. at your site.
  40.  
  41.     The attackers are using anonymous ftp (the ability to use ftp
  42. as a guest) to obtain copies of an encrypted password file for a
  43. machine.  They then decrypt passwords, and use them to log into an
  44. account on that machine.  They become a root user, then install the
  45. trojan horse version of Telnet, about which CIAC alerted you nearly
  46. two months ago.  This trojan horse collects passwords of Telnet users,
  47. which the hackers then use to break into other machines.  The hackers
  48. are also using .rhost and host.equiv to gain entry into other systems
  49. once they have broken into a new machine.  The TFTP facility is also
  50. used to gain access to a machine.
  51.  
  52.     The attackers have not been destroying files or damaging
  53. systems.  To avoid being detected and/or monitored, however, they have
  54. many times waited for several weeks or even longer after obtaining
  55. passwords to break in to a system.  This threat seems to center around
  56. systems that have not installed the distributed patches to already
  57. known vulnerabilities in the UNIX operating system.
  58.  
  59.     CIAC recommends that you take three courses of action:
  60.  
  61.     1) Look for connections between machines in your network and
  62. host machines that would not normally be connected to your site.  If
  63. many of these connections exist, there is a strong possibility that
  64. they may not be legitimate.
  65.  
  66.     Currently many of these unauthorized connections and attacks
  67. have been using:
  68.  
  69.     - universities in North and South Carolina
  70.     - universities in Boston
  71.     - universities and computer companies in the California
  72.       Berkeley/Palo Alto area 
  73.  
  74. Any unusual and unexplained activity from these locations are worth
  75. special attention, as they are likely to be attacks.
  76.  
  77.     2) Look for the Telnet trojan horse, using the command:
  78.  
  79.        strings `which telnet` | grep  \@\(\#\) | grep  on/off
  80.  
  81. Any lines that are printed from this command indicate that you have
  82. been affected by the trojan horse.  If you discover that you have been
  83. affected by the trojan horse program, please contact CIAC for recovery
  84. procedures.
  85.  
  86.     3) If the host.equiv file contains a "+" unauthorized users
  87. can gain entry into a system.  You should therefore inform system
  88. managers that they should remove "+" from any host.equiv files.
  89.  
  90.     Please refer questions to:
  91.  
  92.     CIAC, Thomas Longstaff
  93.     Lawrence Livermore National Laboratory
  94.     P.O. Box 808
  95.     L-540
  96.     Livermore, CA  94550
  97.     (415) 423-4416 or (FTS) 543-4416
  98.     longstaf@frostedflakes.llnl.gov
  99.  
  100.  
  101.  
  102.