home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / next / sysadmin / 4871 < prev    next >
Encoding:
Text File  |  1992-08-25  |  2.6 KB  |  75 lines
  1. Newsgroups: comp.sys.next.sysadmin
  2. Path: sparky!uunet!haven.umd.edu!darwin.sura.net!Sirius.dfn.de!math.fu-berlin.de!news.netmbx.de!Germany.EU.net!news.uni-bielefeld.de!news
  3. From: (Michael Bruewer)mib@bio128.uni-bielefeld.de 
  4. Subject: Re: Security leak or bug?
  5. Sender: news@unibi.uni-bielefeld.de (News Administrator)
  6. Message-ID: <1992Aug26.090053.28832@unibi.uni-bielefeld.de>
  7. Date: Wed, 26 Aug 92 09:00:53 GMT
  8. Reply-To: mib@bio128.uni-bielefeld.de 
  9. References: <HARDY.92Aug24163755@golem.ps.uci.edu>
  10. Nntp-Posting-Host: bio131.uni-bielefeld.de
  11. Organization: Universitaet Bielefeld
  12. Lines: 61
  13.  
  14. We ve had similar problems as Stefano Pagiola a while ago. Here s a summary of  
  15. the responses I ve got, again. Some of the points are not useful in this  
  16. special case, but of general interest, if you want to improve security.
  17. In our case a hacker probably used the rdist security whole.
  18.  
  19.  
  20. 1. Is your public sound port on?
  21.  
  22. 2. Check the /etc/cron*
  23.  
  24. 3. Check the lastcomm (/usr/adm/acct on my system) file.
  25.    Before that you must do
  26.        # accton /usr/adm/acct
  27.    Then you can use "sa" to obtain a list of all commands and the user who
  28.    ran it since then.      
  29.  
  30. 4. Are you aware of the rdist promlem?
  31.    There is a security hole in rdist. A fixed version of rdist for NeXT is 
  32.    available at sonata.cc.purdue.edu.
  33.    'rsh' uses the .rhost file in a user's home directory or the global
  34.    /etc/hosts.equiv file.  If a remote user is allowed access via these files
  35.    then no amount of password changing will stop them.
  36.  
  37.  
  38. 5. There are known methods of attack.  finger, sendmail,  old versions of 
  39.    emacs, ...
  40.  
  41. 6. REMOVE any pd apps you received in binary form.  NEVER AND I MEAN NEVER 
  42.    install pd binaries on ANY machine.  If you can't get the source for the pd    
  43.    stuff then don't install it.
  44.  
  45. 7. Give the machines a boot password.  Anybody can bring a NeXT to single user 
  46.    mode and change password
  47.  
  48. 8. Run Crack and COPS once a week.  (Crack and COPS are available on 
  49.    ftp.uu.net)
  50.  
  51. 9. Do "% /usr/etc/rpcinfo -p"
  52.  
  53.    If you see a line that begins with 100017 and ends with rexd,
  54.    you have a gaping security hole that allows anyone to execute
  55.    arbitrary commands as any non-root user (and with any group
  56.    access, including wheel group) with essentially no logging.
  57.  
  58.    Fix: edit /etc/inetd.conf, find the line
  59.  
  60.    rexd/1         stream  rpc/tcp wait root /usr/etc/rpc.rexd      rpc.rexd
  61.  
  62.    and insert a # at the beginning.  Then
  63.  
  64.     "# kill -HUP <inetd's pid>"
  65.  
  66.    (or reboot).
  67.  
  68.  
  69. _________________________________________________________________
  70. Michael Bruewer
  71.  
  72. e-mail: mib@bio128.uni-bielefeld.de
  73.  
  74. Universitaet Bielefeld
  75.