home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / os / vms / 17847 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  2.0 KB
  1. Xref: sparky comp.os.vms:17847 vmsnet.sysmgt:336
  2. Path: sparky!uunet!portal!cup.portal.com!Chris_F_Chiesa
  3. From: Chris_F_Chiesa@cup.portal.com
  4. Newsgroups: comp.os.vms,vmsnet.sysmgt
  5. Subject: Re: HELP: how to stop and prevent break in?
  6. Message-ID: <69356@cup.portal.com>
  7. Date: Thu, 12 Nov 92 06:33:28 PST
  8. Organization: The Portal System (TM)
  9. References:  <1ds5eqINN185@merak.usc.edu>
  10. Lines: 40
  11.  
  12. Someone who doesn't use a .signature (Portal doesn't pull in headers here,
  13. either) writes:
  14.  
  15. >We got very strange things happened on one account where we found the owner of
  16.  
  17. >files are not only the owner of the account but also another one.  
  18. >
  19. >    OWNER=[my,WHO] 
  20. >
  21. >All the files and directories under that account have two owners  [...]
  22.  
  23. Forgive me if the following insults your intelligence, but the other respon-
  24. dent I see to date, seems to have missed the point entirely.
  25.  
  26. When you say "the files... have two owners," are you saying that when you 
  27. see
  28.  
  29.     OWNER=[my,WHO]
  30.  
  31. you believe that the file is owned by two people, named "my" and "WHO"? 
  32. If so, I believe you are mistaken.  Files under VMS have only ONE owner, 
  33. and I've never heard of ANY contortion anyone can go through to change that.
  34.  
  35. I believe you are merely seeing the file's ownership information expressed
  36. as a Group and Member -- [GROUP,MEMBER] -- rather than as an Identifier --
  37. [IDENT] .  And I further believe that this is caused by the absence of an
  38. Identifier for the file's owner, in the system UAF.
  39.  
  40. You need to determine which user is "user 'WHO' in group 'my'," and if he
  41. is legitimate and entitled to ownership of the files, simply add the proper
  42. identifier for him -- often, this has the same appearance as his username --
  43. to the UAF using AUTHORIZE ADD/IDENT /USER=username .
  44.  
  45. You should also try to determine how the person's identifier either failed
  46. to get created when his account was added to the system, OR was subsequently
  47. deleted from the UAF.  You could still have a breakin I suppose, but this
  48. seems like an odd form of attack if so.
  49.  
  50. Chris Chiesa
  51.   Chris_F_Chiesa@cup.portal.com
  52.