home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / security / misc / 2591 < prev    next >
Encoding:
Internet Message Format  |  1993-01-25  |  2.0 KB
  1. Path: sparky!uunet!pipex!warwick!uknet!comlab.ox.ac.uk!pcl
  2. From: pcl@ox.ac.uk (Paul C Leyland)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Unix Viruses. Are there any??
  5. Message-ID: <PCL.93Jan25112838@rhodium.ox.ac.uk>
  6. Date: 25 Jan 93 11:28:38 GMT
  7. References: <1993Jan15.090426.12195@unix.brighton.ac.uk> <17988@umd5.umd.edu>
  8.     <senetza.727648754@honte>
  9. Organization: Oxford University Computing Services, 13 Banbury Rd Oxford OX2
  10.     6NN
  11. Lines: 37
  12. In-reply-to: senetza@sigma.uleth.ca's message of 21 Jan 93 20:39:14 GMT
  13.  
  14. In article <senetza.727648754@honte> senetza@sigma.uleth.ca (Len Senetza) writes:
  15.  
  16. Description of perverted ls(1) deleted.
  17.  
  18.    so, if root executes your ls, then x is attached to some program in the
  19.    system.  have your x only do it to programs which are suid.  then it's
  20.    all over the place; memory protection and file access controls fail
  21.    here.
  22.  
  23.    this assumes that root has . in its path, and how many root accounts
  24.    out there do?
  25.  
  26.  
  27. Mine don't.  Long time ago, in a previous life, the site I was
  28. sysadmin for got bitten by this very trojan (except someone
  29. implemented it as a shell-script rather than a binary).  It was done
  30. for a "joke".  At the time, I was 1200 miles away on vacation.  When I
  31. got back, the joker had several interesting interviews with me, his
  32. supervisor and the head of the faculty.
  33.  
  34. Several consequences:
  35.     1)  Root never has . in its path
  36.     2)  The joker stopped playing dangerous games, and went on to be
  37.         a good system hacker.
  38.     3)  Demonstrated that my insistence on good backups wasn't purely
  39.         obsessional, but was actually vital to a research group.
  40.     4)  The victim superuser, learned to type \/bin/su - root
  41.             to avoid some of the more obvious su trojans.
  42.  
  43.  
  44. Paul
  45. --
  46. Paul Leyland <pcl@oxford.ac.uk>          | Hanging on in quiet desperation is
  47. Oxford University Computing Service      |     the English way.
  48. 13 Banbury Road, Oxford, OX2 6NN, UK     | The time is come, the song is over.
  49. Tel: +44-865-273200  Fax: +44-865-273275 | Thought I'd something more to say.
  50. Finger pcl@black.ox.ac.uk for PGP key    |
  51.