home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0105.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  20.4 KB  |  545 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-95:18           
  6. Original issue date: December 18, 1995
  7. Last revised: August 30, 1996
  8.               Removed references to README files and added a pointer to CERT
  9.               summaries. Replaced old version of the incident reporting form
  10.               with version 3.0.
  11.  
  12.               A complete revision history is at the end of this file.
  13.  
  14. Topic: Widespread Attacks on Internet Sites
  15. - -----------------------------------------------------------------------------
  16.  
  17. Over the last several weeks, the CERT Coordination Center has been working on
  18. a set of incidents in which the intruders have launched widespread attacks
  19. against Internet sites. Hundreds of sites have been attacked, and many of the
  20. attacks have been successful, resulting in root compromises at the targeted
  21. sites. We continue to receive reports, and we believe that more attacks are
  22. going undetected.
  23.  
  24. **********************************************************************
  25. All the vulnerabilities exploited in these attacks are known, and are
  26. addressed by CERT advisories (see Section III).
  27. **********************************************************************
  28.  
  29. We urge everyone to obtain these advisories and take action to ensure
  30. that systems are protected against these attacks. Also, please feel
  31. free to redistribute this message.
  32.  
  33. We will update this advisory as we receive additional information.
  34. Please check advisory files regularly for updates that relate to your site.
  35.  
  36. Also see CERT Summaries for information on intruder activity:
  37.          ftp://info.cert.org/pub/cert_summaries/
  38.  
  39. - -----------------------------------------------------------------------------
  40.  
  41. I.   Description
  42.  
  43.      Intruders are doing the following:
  44.  
  45.         - using automated tools to scan sites for NFS and NIS vulnerabilities 
  46.  
  47.         - exploiting the rpc.ypupdated vulnerability to gain root access
  48.  
  49.         - exploiting the loadmodule vulnerability to gain root access
  50.  
  51.         - installing Trojan horse programs and packet sniffers
  52.  
  53.         - launching IP spoofing attacks
  54.  
  55.  
  56. II.  Impact
  57.  
  58.      Successful exploitation of the vulnerabilities can result in unauthorized
  59.      root access.
  60.  
  61.  
  62. III. Solution
  63.  
  64.      The CERT staff urges you to immediately take the steps described in
  65.      the advisories listed below. Note that it is important
  66.      to check advisories periodically as we add updated information as we
  67.      receive it.
  68.  
  69.      a. Using automated tools to scan sites for NFS and NIS vulnerabilities 
  70.  
  71.         * CA-94:15.NFS.Vulnerabilities
  72.         * CA-92:13.SunOS.NIS.vulnerability 
  73.  
  74.      b. Exploiting the rpc.ypupdated vulnerability to gain root access
  75.  
  76.          * CA-95:17.rpc.ypupdated.vul
  77.  
  78.      c. Exploiting the loadmodule vulnerability to gain root access
  79.  
  80.         * CA-93:18.SunOS.Solbourne.loadmodule.modload.vulnerability
  81.         * CA-95:12.sun.loadmodule.vul
  82.  
  83.      d. Installing Trojan horse programs and packet sniffers
  84.         * CA-94:01.ongoing.network.monitoring.attacks 
  85.      
  86.      e. Launching IP spoofing attacks
  87.  
  88.          * CA-95:01.IP.spoofing
  89.  
  90.      The CERT advisories are available from
  91.  
  92.          ftp://info.cert.org/pub/cert_advisories
  93.  
  94.  
  95.      If you find a compromise, please complete the Incident Reporting Form
  96.      that we have provided at the end of this advisory, and return the
  97.      form to cert@cert.org. This completed form will help us better assist
  98.      you.   
  99.  
  100.      Note: Because of our workload, we must ask you not to send log files of 
  101.      activity, but we would be happy to work with you as needed on how to
  102.      interpret data that you may collect. Also, the CERT staff can provide
  103.      guidance and advice, if needed, on how to handle incidents and work with
  104.      law enforcement. 
  105.  
  106.      If you see activity that indicates an attack is in progress, we encourage
  107.      you to contact other sites involved and the service providers, as well as
  108.      the CERT Coordination Center.
  109.  
  110. - ---------------------------------------------------------------------------
  111.  
  112. Contacting the CERT Coordination Center
  113.  
  114. For sensitive information, please use encrypted email. 
  115. The CERT public PGP key is available from 
  116.                 
  117.         ftp://info.cert.org/pub/CERT_PGP.key
  118.  
  119. If you prefer to use DES, please call the CERT hotline
  120.  
  121.         +1 412 268 7090
  122.  
  123. to exchange a DES key over the phone.
  124.  
  125.  
  126. Other CERT contact information:
  127.  
  128. Internet email: cert@cert.org
  129. Telephone: +1 412-268-7090 (24-hour hotline)
  130.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  131.            and are on call for emergencies during other hours.
  132. Fax: +1 412-268-6989
  133.  
  134. Postal address:  CERT Coordination Center
  135.                  Software Engineering Institute
  136.                  Carnegie Mellon University
  137.                  Pittsburgh, PA 15213-3890
  138.                  USA
  139.  
  140. CERT advisories and bulletins are posted on the USENET newsgroup
  141. comp.security.announce. If you would like to have future advisories and
  142. bulletins mailed to you or to a mail exploder at your site, please send mail
  143. to cert-advisory-request@cert.org.
  144.  
  145. Past CERT publications, information about FIRST representatives, and
  146. other information related to computer security are available from
  147. ftp://info.cert.org/pub/
  148.  
  149.  
  150. Copyright 1995, 1996 Carnegie Mellon University
  151. This material may be reproduced and distributed without permission provided it
  152. is used for noncommercial purposes and the copyright statement is included.
  153.  
  154. CERT is a service mark of Carnegie Mellon University.
  155.  
  156.  
  157. ..............................................................................
  158. Appendix: Incident Reporting Form
  159. (also available from ftp://info.cert.org/pub/incident_reporting_form)
  160.  
  161. version 3.0
  162.  
  163.                        CERT(sm) Coordination Center
  164.                        Incident Reporting Form
  165.  
  166. The CERT Coordination Center (CERT/CC) has developed the following form in
  167. an effort to gather incident information.  We would appreciate your
  168. completing the form below in as much detail as possible.  The information
  169. is optional, but from our experience we have found that having the answers
  170. to all the questions enables us to provide the best assistance.  Completing
  171. the form also helps avoid delays while we get back to you requesting the
  172. information we need in order to help you.  Sites have told us, as well,
  173. that filling out the form has helped them work through the incident.
  174.  
  175. Note that our policy is to keep any information specific to your site
  176. confidential unless we receive your permission to release that information.
  177.  
  178. Please feel free to duplicate any section as required.  Please return this
  179. form to cert@cert.org.  If you are unable to email this form, please send
  180. it by FAX.  The CERT/CC FAX number is
  181.  
  182.          +1 412 268 6989
  183.  
  184. Thank you for your cooperation and help.
  185. ............................................................................
  186.  
  187.  
  188. 1.0. General Information
  189.  
  190.      1.1. Incident number (to be assigned by the CERT/CC):  CERT#
  191.  
  192.      1.2. Reporting site information
  193.  
  194.           1.2.1.  Name (e.g., CERT Coordination Center):  
  195.           1.2.2.  Domain Name (e.g., cert.org):  
  196.           1.2.3.  Brief description of the organization:  
  197.           1.2.4.  Is your site an Internet Service Provider (Yes/No):  
  198.  
  199.  
  200. 2.0. Contact Information
  201.  
  202.      2.1. Your contact information
  203.  
  204.            2.1.1.  Name:  
  205.            2.1.2.  Email address:  
  206.            2.1.3.  Telephone number:  
  207.            2.1.4.  FAX number:
  208.            2.1.5.  Pager number:  
  209.            2.1.6.  Home telephone number (for CERT/CC internal use only):  
  210.            2.1.7.  Secure communication channel (e.g., PGP, PEM, DES, secure
  211.                     telephone/FAX) [NOTE -- we will call to obtain the secure
  212.                     communication channel information] (Yes/No):  
  213.  
  214.      2.2. Additional contact information (if available)
  215.  
  216.            2.2.1.  Name:  
  217.            2.2.2.  Email address:  
  218.            2.2.3.  Telephone number:  
  219.            2.2.4.  FAX number:  
  220.            2.2.5.  Pager number:  
  221.            2.2.6.  Home telephone number (for CERT/CC internal use only):  
  222.            2.2.7.  Secure communication channel (Yes/No):  
  223.  
  224.      2.3. Site security contact information (if applicable)
  225.  
  226.            2.3.1.  Name:  
  227.            2.3.2.  Email address:  
  228.            2.3.3.  Telephone number:  
  229.            2.3.4.  FAX number:  
  230.            2.3.5.  Pager number:  
  231.            2.3.6.  Home telephone number (for our internal use only):  
  232.            2.3.7.  Secure communication channel (Yes/No):  
  233.  
  234.      2.4. Contact information for other site(s) involved in this incident (if
  235.            available)
  236.  
  237.            2.4.1.  Site name:  
  238.            2.4.2.  Contact person name:
  239.            2.4.3.  Email address:  
  240.            2.4.4.  Telephone number:  
  241.            2.4.5.  FAX number:  
  242.            2.4.6.  Pager number:  
  243.            2.4.7.  Home telephone number (for CERT/CC internal use only):  
  244.            2.4.8.  Secure communication channel (Yes/No):  
  245.  
  246.      2.5. Contact information for any other incident response team(s) (IRTs)
  247.            that has/have been notified (if available)
  248.  
  249.            2.5.1.  IRT name:  
  250.            2.5.2.  Constituency domain:  
  251.            2.5.3.  Contact person name:
  252.            2.5.4.  Email address:  
  253.            2.5.5.  Telephone number:  
  254.            2.5.6.  FAX number:  
  255.            2.5.7.  Pager number:  
  256.            2.5.8.  Home telephone number (for CERT/CC internal use only):  
  257.            2.5.9.  Secure communication channel (Yes/No): 
  258.            2.5.10. IRT reference number:   
  259.  
  260.      2.6. Contact information for any law enforcement agency(ies) that
  261.           has/have been notified (if available) 
  262.  
  263.           2.6.1.  Law enforcement agency name:  
  264.           2.6.2.  Contact person name:
  265.           2.6.3.  Email address:  
  266.           2.6.4.  Telephone number:  
  267.           2.6.5.  FAX number:  
  268.           2.6.6.  Pager number:  
  269.           2.6.7.  Home telephone number (for CERT/CC internal use only):  
  270.           2.6.8.  Secure communication channel (Yes/No):  
  271.           2.6.9.  Law enforcement agency reference number:  
  272.  
  273.  
  274. 3.0. Contacting Sites Involved
  275.  
  276.      3.1. We ask that reporting sites contact other sites involved in
  277.           incident activity.  Please let us know if you need assistance
  278.           in obtaining contact information for the site(s) involved.
  279.             
  280.           When contacting the other sites, we would very much
  281.           appreciate a cc to the "cert@cert.org" alias.  This helps
  282.           us identify connections between incidents and understand
  283.           the scope of intruder activity.  We would also appreciate
  284.           your including our incident number in the subject line of
  285.           any correspondence relating to this incident if one
  286.           has been assigned (see item 1.1.).
  287.  
  288.           If you are unable to contact the involved sites, please get in
  289.           touch with us to discuss how we can assist you.
  290.  
  291.      3.2. Disclosure information -- may we give the following types of
  292.           information to 
  293.  
  294.           3.2.1. the sites involved in this incident
  295.  
  296.                  3.2.1.1. your domain (Yes/No):
  297.                  3.2.1.2. your host(s) involved (Yes/No):
  298.                  3.2.1.3. your contact information (Yes/No):
  299.  
  300.           3.2.2. incident response teams, for sites from their
  301.                  constituencies involved in this incident
  302.  
  303.                  3.2.2.1. your domain (Yes/No):
  304.                  3.2.2.2. your host(s) involved (Yes/No):
  305.                  3.2.2.3. your contact information (Yes/No):
  306.  
  307.           3.2.3. law enforcement agency(ies) if there is a legal
  308.                  investigation
  309.  
  310.                  3.2.3.1. your domain (Yes/No):
  311.                  3.2.3.2. your host(s) involved (Yes/No):
  312.                  3.2.3.3. your contact information (Yes/No):
  313.  
  314.  
  315. 4.0. Host Information
  316.  
  317.      4.1. Host(s) involved at your site.  Please provide information on all
  318.           host(s) involved in this incident at the time of the incident (one
  319.           entry per host please) 
  320.  
  321.           4.1.1.  Hostname:  
  322.           4.1.2.  IP address(es):  
  323.           4.1.3.  Vendor hardware, OS, and version:  
  324.           4.1.4.  Security patches applied/installed as currently
  325.                   recommended by the vendor and the CERT/CC
  326.                   (Yes/No/Unknown):  
  327.           4.1.5.  Function(s) of the involved host 
  328.  
  329.                   4.1.5.1. Router (Yes/No):  
  330.                   4.1.5.2. Terminal server (Yes/No):  
  331.                   4.1.5.3. Other (e.g. mail hub, information server, DNS
  332.                            [external or internal], etc.):  
  333.  
  334.           4.1.6.  Where on the network is the involved host (e.g.
  335.                   backbone, subnet):  
  336.           4.1.7.  Nature of the information at risk on the involved host
  337.                   (e.g., router configuration, proprietary, personnel,
  338.                   financial, etc.):  
  339.           4.1.8.  Timezone of the involved host (relative to GMT):
  340.           4.1.9.  In the attack, was the host the source, the victim, or
  341.                   both:
  342.           4.1.10. Was this host compromised as a result of this attack
  343.                   (Yes/No):  
  344.  
  345.      4.2. Host(s) involved at other other sites (one entry per host
  346.           please) 
  347.  
  348.           4.2.1. Hostname:  
  349.           4.2.2. IP address(es):  
  350.           4.2.3. Vendor hardware, OS, and version:  
  351.           4.2.4. Has the site been notified (Yes/No):  
  352.           4.2.5. In the attack, was the host the source, the victim, or
  353.                  both:
  354.           4.2.6. Was this host compromised as a result of this attack
  355.                  (Yes/No):  
  356.  
  357.  
  358. 5.0. Incident Categories
  359.  
  360.      5.1. Please mark as many categories as are appropriate to
  361.           this incident
  362.  
  363.           5.1.1.  Probe(s):  
  364.           5.1.2.  Scan(s):  
  365.           5.1.3.  Prank:  
  366.           5.1.4.  Scam:  
  367.           5.1.5.  Email Spoofing:
  368.           5.1.6.  Email bombardment:  
  369.  
  370.                   5.1.6.1. was this denial-of-service attack successful
  371.                            (Yes/No):
  372.  
  373.           5.1.7.  Sendmail attack:  
  374.  
  375.                   5.1.7.1. did this attack result in a compromise (Yes/No):  
  376.  
  377.           5.1.8.  Break-in
  378.  
  379.                   5.1.8.1. Intruder gained root access (Yes/No):  
  380.                   5.1.8.2. Intruder installed Trojan horse program(s)
  381.                            (Yes/No):
  382.                   5.1.8.3. Intruder installed packet sniffer (Yes/No):  
  383.  
  384.                            5.1.8.3.1. What was the full pathname(s) of the
  385.                                       sniffer output file(s):
  386.                            5.1.8.3.2. How many sessions did the sniffer log?
  387.                                       (use "grep -c 'DATA' <filename>" to
  388.                                       obtain this information):  
  389.  
  390.                   5.1.8.4.  NIS (yellow pages) attack (Yes/No):
  391.                   5.1.8.5.  NFS attack (Yes/No):  
  392.                   5.1.8.6.  TFTP attack (Yes/No):  
  393.                   5.1.8.7.  FTP attack (Yes/No):  
  394.                   5.1.8.8.  Telnet attack (Yes/No):  
  395.                   5.1.8.9.  Rlogin or rsh attack (Yes/No):  
  396.                   5.1.8.10. Cracked password (Yes/No):  
  397.                   5.1.8.11. Easily-guessable password (Yes/No):  
  398.  
  399.           5.1.9.  Anonymous FTP abuse (Yes/No):
  400.           5.1.10. IP spoofing (Yes/No):  
  401.           5.1.11. Product vulnerability (Yes/No):
  402.           
  403.                   5.1.11.1. Vulnerability exploited:  
  404.  
  405.           5.1.12. Configuration error (Yes/No):  
  406.  
  407.                   5.1.12.1. Type of configuration error:  
  408.  
  409.           5.1.13. Misuse of host(s) resources (Yes/No):  
  410.           5.1.14. Worm (Yes/No):
  411.           5.1.15. Virus (Yes/No):
  412.           5.1.16. Other (please specify):
  413.  
  414.  
  415. 6.0. Security Tools 
  416.  
  417.      6.1. At the time of the incident, were you any using the following
  418.           security tools (Yes/No; How often) 
  419.  
  420.           Network Monitoring tools
  421.              6.1.1.  Argus:  
  422.              6.1.2.  netlog (part of the TAMU Security Package): 
  423.  
  424.           Authentication/Password tools
  425.              6.1.3.  Crack:  
  426.              6.1.4.  One-time passwords:  
  427.              6.1.5.  Proactive password checkers:  
  428.              6.1.6.  Shadow passwords: 
  429.              6.1.7.  Kerberos:
  430.  
  431.           Service filtering tools
  432.              6.1.8.  Host access control via modified daemons or wrappers:  
  433.              6.1.9.  Drawbridge (part of the TAMU Security Package):  
  434.              6.1.10. Firewall (what product):  
  435.              6.1.11. TCP access control using packet filtering:  
  436.  
  437.           Tools to scan hosts for known vulnerabilities
  438.              6.1.12. ISS:  
  439.              6.1.13. SATAN:  
  440.  
  441.           Multi-purpose tools
  442.              6.1.14. C2 security:
  443.              6.1.15. COPS:
  444.              6.1.16. Tiger (part of the TAMU Security Package):  
  445.  
  446.           File Integrity Checking tools
  447.              6.1.17. MD5:
  448.              6.1.18. Tripwire:
  449.  
  450.           Other tools
  451.              6.1.19. lsof:  
  452.              6.1.20. cpm:
  453.              6.1.21. smrsh:
  454.              6.1.22. append-only file systems:
  455.  
  456.           Additional tools (please specify):  
  457.  
  458.      6.2. At the time of the incident, which of the following logs were you
  459.           using, if any (Yes/No)
  460.  
  461.           6.2.1. syslog:
  462.           6.2.2. utmp:
  463.           6.2.3. wtmp:
  464.           6.2.4. TCP wrapper:
  465.           6.2.5. process accounting:  
  466.  
  467.      6.3. What do you believe to be the reliability and integrity of
  468.           these logs (e.g., are the logs stored offline or on a
  469.           different host):  
  470.  
  471.  
  472. 7.0. Detailed description of the incident
  473.  
  474.      7.1. Please complete in as much detail as possible
  475.  
  476.           7.1.1.  Date and duration of incident:
  477.           7.1.2.  How you discovered the incident:
  478.           7.1.3.  Method used to gain access to the affected host(s):
  479.           7.1.4.  Details of vulnerabilities exploited that are
  480.                   not addressed in previous sections:
  481.           7.1.5.  Other aspects of the "attack":
  482.           7.1.6.  Hidden files/directories:  
  483.           7.1.7.  The source of the attack (if known):
  484.           7.1.8.  Steps taken to address the incident (e.g., binaries
  485.                   reinstalled, patches applied):  
  486.           7.1.9.  Planned steps to address the incident (if any):  
  487.           7.1.10. Do you plan to start using any of the tools listed
  488.                   above in question 6.0 (please list tools expected 
  489.                   to use):
  490.           7.1.11. Other:   
  491.  
  492.      7.2. Please append any log information or directory listings and
  493.           timezone information (relative to GMT).
  494.  
  495.      7.3. Please indicate if any of the following were left on your
  496.           system by the intruder (Yes/No):  
  497.  
  498.           7.3.1. intruder tool output (such as packet sniffer output
  499.                  logs):
  500.           7.3.2. tools/scripts to exploit vulnerabilities:  
  501.           7.3.3. source code programs (such as Trojan horse programs,
  502.                  sniffer programs):  
  503.           7.3.4. binary code programs (such as Trojan horse programs,
  504.                  sniffer programs):  
  505.           7.3.5. other files:  
  506.  
  507.           If you answered yes to any of the last 5 questions, please call
  508.           the CERT/CC hotline (+1 412 268 7090) for instructions on
  509.           uploading files to us by FTP.  Thanks.
  510.  
  511.      7.4. What assistance would you like from the CERT/CC?
  512.  
  513.  
  514.  
  515. Copyright 1996 Carnegie Mellon University
  516. This form may be reproduced and distributed without permission provided it
  517. is used for noncommercial purposes and the CERT Coordination Center is
  518. acknowledged.
  519.  
  520. CERT is a service mark of Carnegie Mellon University.
  521.  
  522. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  523. Revision history
  524.  
  525. Aug. 30, 1996 - Removed references to README files because updated information
  526.                  is put into the advisories themselves. 
  527.                Added a pointer to CERT summaries. 
  528.                Updated the file name for the incident reporting form (IRF). 
  529.                Replaced the old version of the IRF with version 3.0.
  530.  
  531.  
  532.  
  533.  
  534.  
  535. -----BEGIN PGP SIGNATURE-----
  536. Version: 2.6.2
  537.  
  538. iQCVAwUBMiS7/HVP+x0t4w7BAQFk9gP/ePGgs9kLpXb1vuy5fgMa+CB8lHP1+xeE
  539. d4xFDu2AS+Dz39NIuY0pNrHBzl+4YN6r/dvW1ZzWb7nUVCS7X58aA7giYBf2xDXY
  540. Mh6SuU66RfCKNVG3n1EiD1IxeTz1t5eZvcA/vIEcFyuI78YzGw/2PmFwYrfeGBgP
  541. rMxvIGGXr/M=
  542. =dk+E
  543. -----END PGP SIGNATURE-----
  544.  
  545.