home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1697 < prev    next >
Encoding:
Internet Message Format  |  1992-11-09  |  2.1 KB
  1. Path: sparky!uunet!ogicse!uwm.edu!zaphod.mps.ohio-state.edu!saimiri.primate.wisc.edu!copper!cudnvr!dwing
  2. From: dwing@cudnvr.denver.colorado.edu (Dan Wing)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Forging E-mail from root to get users to change passwords
  5. Message-ID: <1992Nov9.214145.1@cudnvr.denver.colorado.edu>
  6. Date: 9 Nov 92 21:34:45 GMT
  7. Article-I.D.: cudnvr.1992Nov9.214145.1
  8. References: <82930@ut-emx.uucp> <ratner.720811773@ficus.cs.ucla.edu> <92309.193737CXF111@psuvm.psu.edu> <1992Nov5.174213.2370@mksol.dseg.ti.com>
  9. Sender: netnews@copper.denver.colorado.edu
  10. Lines: 31
  11.  
  12. In article <1992Nov5.174213.2370@mksol.dseg.ti.com>, mccall@mksol.dseg.ti.com 
  13. (fred j mccall 575-3539) writes:
  14.  
  15. > In <92309.193737CXF111@psuvm.psu.edu> Charles Fee <CXF111@psuvm.psu.edu> writes:
  17. >>Why would a hacker (who apparently has root access) need to tell users to
  18. >>change their password?  On my system (Linux) all root has to do is wipe out
  19. >>the users' old password and then the account is free.  You could then log in
  20. >>as that user without a password and run the passwd program to change it to
  21. >>whatever the cracker feels like doing.  
  22. [...]
  23. > You don't even have to go through all this, if you already have root
  24. > access.  Just use passwd from root with the username argument and you
  25. > can change it directly from root.
  26.  
  27. A hacker would usually ask a user to change their password because the 
  28. hacker *doesn't* have root access (at least, not yet).  The hacker faked an
  29. Email address to make it look like it came from root - it didn't come from 
  30. root.
  31.  
  32. Also, if a hacker changes someone's password, the person will know it (the
  33. legitimate user can no longer login) and the legit user will call the 
  34. the sysadmin and whine "I forgot my password" and the sysadmin will change it 
  35. -- locking out the hacker.  If a hacker wants to run 'stealth' on your system,
  36. it is a lot easier to use an already-existing username rather than create a
  37. new username or use your root login.
  38.  
  39. My own comments and ideas, not those of my employer.
  40.  
  41. -dan
  42.  Internet: DWING@UH01.Colorado.EDU, or DWING@cudnvr.denver.colorado.edu
  43.