home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0004.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.3 KB  |  118 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4.  
  5. CA-89:03
  6.                                  CERT Advisory
  7.                                 August 16, 1989
  8.                             Telnet Breakin Warning
  9.  
  10. - ----------------------------------------------------------------------------
  11.  
  12. Many computers connected to the Internet have recently experienced
  13. unauthorized system activity.  Investigation shows that the activity
  14. has occurred for several months and is spreading.  Several UNIX
  15. computers have had their "telnet" programs illicitly replaced with
  16. versions of "telnet" which log outgoing login sessions (including
  17. usernames and passwords to remote systems).  It appears that access
  18. has been gained to many of the machines which have appeared in some of
  19. these session logs.  (As a first step, frequent telnet users should
  20. change their passwords immediately.)  While there is no cause for
  21. panic, there are a number of things that system administrators can do
  22. to detect whether the security on their machines has been compromised
  23. using this approach and to tighten security on their systems where
  24. necessary.  At a minimum, all UNIX site administrators should do the
  25. following:
  26.  
  27. o Test telnet for unauthorized changes by using the UNIX "strings"
  28.   command to search for path/filenames of possible log files.  Affected
  29.   sites have noticed that their telnet programs were logging information
  30.   in user accounts under directory names such as "..." and ".mail".
  31.  
  32. In general, we suggest that site administrators be attentive to
  33. configuration management issues.  These include the following:
  34.  
  35.  
  36. o Test authenticity of critical programs - Any program with access to
  37.   the network (e.g., the TCP/IP suite) or with access to usernames and
  38.   passwords should be periodically tested for unauthorized changes.
  39.   Such a test can be done by comparing checksums of on-line copies of
  40.   these programs to checksums of original copies.  (Checksums can be
  41.   calculated with the UNIX "sum" command.)  Alternatively, these
  42.   programs can be periodically reloaded from original tapes.
  43.  
  44. o Privileged programs - Programs that grant privileges to users (e.g.,
  45.   setuid root programs/shells in UNIX) can be exploited to gain
  46.   unrestricted access to systems.  System administrators should watch
  47.   for such programs being placed in places such as /tmp and /usr/tmp (on
  48.   UNIX systems).  A common malicious practice is to place a setuid shell
  49.   (sh or csh) in the /tmp directory, thus creating a "back door" whereby
  50.   any user can gain privileged system access.
  51.  
  52. o Monitor system logs - System access logs should be periodically
  53.   scanned (e.g., via UNIX "last" command) for suspicious or unlikely
  54.   system activity.
  55.  
  56. o Terminal servers - Terminal servers with unrestricted network access
  57.   (that is, terminal servers which allow users to connect to and from
  58.   any system on the Internet) are frequently used to camouflage network
  59.   connections, making it difficult to track unauthorized activity.
  60.   Most popular terminal servers can be configured to restrict network
  61.   access to and from local hosts.
  62.  
  63. o Passwords - Guest accounts and accounts with trivial passwords
  64.   (e.g., username=password, password=none) are common targets.  System
  65.   administrators should make sure that all accounts are password
  66.   protected and encourage users to use acceptable passwords as well as
  67.   to change their passwords periodically, as a general practice.  For
  68.   more information on passwords, see Federal Information Processing
  69.   Standard Publication (FIPS PUB) 112, available from the National
  70.   Technical Information Service, U.S. Department of Commerce,
  71.   Springfield, VA 22161.
  72.  
  73. o Anonymous file transfer - Unrestricted file transfer access to a
  74.   system can be exploited to obtain sensitive files such as the UNIX
  75.   /etc/passwd file.  If used, TFTP (Trivial File Transfer Protocol -
  76.   which requires no username/password authentication) should always be
  77.   configured to run as a non-privileged user and "chroot" to a file
  78.   structure where the remote user cannot transfer the system /etc/passwd
  79.   file.  Anonymous FTP, too, should not allow the remote user to access
  80.   this file, or any other critical system file.  Configuring these
  81.   facilities to "chroot" limits file access to a localized directory
  82.   structure.
  83.  
  84. o Apply fixes - Many of the old "holes" in UNIX have been closed.
  85.   Check with your vendor and install all of the latest fixes.
  86.  
  87.  
  88. If system administrators do discover any unauthorized system activity,
  89. they are urged to contact the Computer Emergency Response Team (CERT).
  90.  
  91. - -----------------------------------------------------------------------------
  92.  
  93. Computer Emergency Response Team (CERT)
  94. Software Engineering Institute
  95. Carnegie Mellon University
  96. Pittsburgh, PA 15213-3890
  97.  
  98. Internet: cert@cert.org
  99. Telephone: 412-268-7090 24-hour hotline: CERT personnel answer
  100.            7:30a.m.-6:00p.m. EST, on call for
  101.            emergencies other hours.
  102.  
  103. Past advisories and other information are available for anonymous ftp
  104. from cert.org (192.88.209.5).
  105.  
  106.  
  107.  
  108. -----BEGIN PGP SIGNATURE-----
  109. Version: 2.6.2
  110.  
  111. iQCVAwUBMaMwaHVP+x0t4w7BAQEDZgP/cqyLMF6jNCb5KUyu1cvV16V5iqyr+6NU
  112. +Bv7nAslpa68gVA2H1lAj/ckorE8TiN8Dca5L8vRi7xdb8aZdJreuhq04Ca6378R
  113. g5heP3PfvrfFSC/uOPmKsZNEXyEKEcM3oUXp+7t0VCf/e5CmV2TOTKp83GRbaFma
  114. 6CJhBW59YnE=
  115. =FF2b
  116. -----END PGP SIGNATURE-----
  117.  
  118.