home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / network / 43.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.3 KB  |  221 lines
  1. ********************************************************************** 
  2. DDN MGT Bulletin 43              DCA DDN Defense Communications System   
  3. 3 Nov 88                         Published by: DDN Network Info Center
  4.                                     (NIC@SRI-NIC.ARPA)  (800) 235-3155
  5.  
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.  
  9.                          MANAGEMENT  BULLETIN
  10.  
  11. The DDN MANAGEMENT BULLETIN is distributed online by the DDN Network
  12. Information Center under DCA contract as a means of communicating
  13. official policy, procedures and other information of concern to
  14. management personnel at DDN facilities.  Back issues may be read
  15. through the TACNEWS server ("@n" command at the TAC) or may be
  16. obtained by FTP (or Kermit) from the SRI-NIC host [26.0.0.73 or
  17. 10.0.0.51] using login="anonymous" and password="guest".  The pathname
  18. for bulletins is DDN-NEWS:DDN-MGT-BULLETIN-nn.TXT (where "nn" is the
  19. bulletin number).
  20. **********************************************************************
  21.  
  22.              BSD 4.2 AND 4.3 SOFTWARE PROBLEM RESOLUTION
  23.  
  24.  
  25. A virus is currently affecting a number of network hosts and may affect
  26. yours.  It is spread via the electronic mail system (SMTP and
  27. Sendmail) and attacks machines running 4.3 and 4.2 UNIX BSD and
  28. possibly SUN 3.X machines.  The following are three messages which
  29. provide some background information about the virus, and supply a fix.
  30. The fix will prevent reinfection by the virus, but it will not fix any
  31. damage the virus has done.
  32.  
  33. If you have any further questions about this bulletin, please contact
  34. the Network Information Center at (800) 235-3155 or (415) 859-3695.
  35. This fix is also available for FTP from SRI-NIC.ARPA as
  36. NETINFO:VIRUS-PATCH.TXT.
  37.  
  38.  
  39. BACKGROUND:
  40.  
  41.  2-Nov-88 23:45:39-PST,1520;000000000000
  42. Received: from ames.arc.nasa.gov by SRI-NIC.ARPA with TCP; Wed, 2 Nov 88 23:26:54 PST
  43. Received: Wed, 2 Nov 88 23:28:00 PST by ames.arc.nasa.gov (5.59/1.2)
  44. Date: Wed, 2 Nov 88 23:28:00 PST
  45. From: Peter E. Yee <yee@ames.arc.nasa.gov>
  46. Message-Id: <8811030728.AA18199@ames.arc.nasa.gov>
  47. To: mkl@sri-nic.arpa
  48. Subject: Internet VIRUS alert
  49. Cc: postmaster@sri-nic.arpa, tcp-ip@sri-nic.arpa
  50. X-Lines: 19
  51.  
  52. We are currently under attack from an Internet VIRUS.  It has hit UC Berkeley,
  53. UC San Diego, Lawrence Livermore, Stanford, and NASA Ames.  The virus comes in
  54. via SMTP, and then is able to attack all 4.3BSD and SUN (3.X?) machines.  It
  55. sends a RCPT TO that requests that its data be piped through a shell.  It copies
  56. in a program, compiles and executes it.  This program copies in VAX and SUN 
  57. binaries that try to replicate the virus via connections to TELNETD, FTPD, 
  58. FINGERD, RSHD, and SMTP.  The programs also appear to have DES tables in them.
  59. They appear in /usr/tmp as files that start with the letter x.  Removing them
  60. is not enough as they will come back in the next wave of attacks.  For now
  61. turning off the above services seems to be the only help.  The virus is able
  62. to take advantage of .rhosts files and hosts.equiv.  We are not certain what the
  63. final result of the binaries is, hence the warning.
  64.  
  65. I can be contacted at (415) 642-7447.  Phil Lapsley and Kurt Pires at this
  66. number are also conversant with the virus.  
  67.  
  68.                             -Peter Yee
  69.                             yee@ames.arc.nasa.gov
  70.                             ames!yee
  71.  
  72.  
  73. SOFTWARE PATCH:
  74.  
  75.  3-Nov-88 04:06:58-PST,4162;000000000001
  76. Received: from okeeffe.Berkeley.EDU by SRI-NIC.ARPA with TCP; Thu, 3 Nov 88 03:37:45 PST
  77. Received: by okeeffe.Berkeley.EDU (5.61/1.29)
  78.     id AA22168; Thu, 3 Nov 88 02:56:25 PST
  79. Date: Thu, 3 Nov 88 02:56:25 PST
  80. From: bostic%okeeffe.Berkeley.EDU@ucbvax.Berkeley.EDU (Keith Bostic)
  81. Message-Id: <8811031056.AA22168@okeeffe.Berkeley.EDU>
  82. To: tcp-ip@sri-nic.arpa
  83. Subject: Virus fixes
  84.  
  85. Subject: Fixes for the virus
  86. Index: usr.lib/sendmail/src/srvrsmtp.c 4BSD
  87.  
  88. Description:
  89.     There's a virus running around; the salient facts.  A bug in
  90.     sendmail has been used to introduce a virus into a lot of
  91.     Internet UNIX systems.  It has not been observed to damage the
  92.     host system, however, it's incredibly virulent, attempting to
  93.     introduce itself to every system it can find.  It appears to
  94.     use rsh, broken passwords, and sendmail to introduce itself
  95.     into the target systems.  It affects only VAXen and Suns, as
  96.     far as we know.  
  97.  
  98.     There are three changes that we believe will immunize your
  99.     system.  They are attached.
  100.  
  101.     Thanks to the Experimental Computing Facility, Center for
  102.     Disease Control for their assistance.  (It's pretty late,
  103.     and they certainly deserved some thanks, somewhere!)
  104.  
  105. Fix:
  106.     First, either recompile or patch sendmail to disallow the `debug'
  107.     option.  If you have source, recompile sendmail after first
  108.     applying the following patch to the module svrsmtp.c:
  109.  
  110.         *** /tmp/d22039    Thu Nov  3 02:26:20 1988
  111.         --- srvrsmtp.c    Thu Nov  3 01:21:04 1988
  112.         ***************
  113.         *** 85,92 ****
  114.               "onex",        CMDONEX,
  115.           # ifdef DEBUG
  116.               "showq",    CMDDBGQSHOW,
  117.         -     "debug",    CMDDBGDEBUG,
  118.           # endif DEBUG
  119.           # ifdef WIZ
  120.               "kill",        CMDDBGKILL,
  121.           # endif WIZ
  122.         --- 85,94 ----
  123.               "onex",        CMDONEX,
  124.           # ifdef DEBUG
  125.               "showq",    CMDDBGQSHOW,
  126.           # endif DEBUG
  127.         + # ifdef notdef
  128.         +     "debug",    CMDDBGDEBUG,
  129.         + # endif notdef
  130.           # ifdef WIZ
  131.               "kill",        CMDDBGKILL,
  132.           # endif WIZ
  133.  
  134.     Then, reinstall sendmail, refreeze the configuration file,
  135.     using the command "/usr/lib/sendmail -bz", kill any running
  136.     sendmail's, using the ps(1) command and the kill(1) command,
  137.     and restart your sendmail.  To find out how sendmail is 
  138.     execed on your system, use grep(1) to find the sendmail start
  139.     line in either the files /etc/rc or /etc/rc.local
  140.  
  141.     If you don't have source, apply the following patch to your
  142.     sendmail binary.  SAVE A COPY OF IT FIRST, IN CASE YOU MESS
  143.     UP!  This is mildly tricky -- note, some versions of strings(1),
  144.     which we're going to use to find the offset of the string 
  145.     "debug" in the binary print out the offsets in octal, not
  146.     decimal.  Run the following shell line to decide how your
  147.     version of strings(1) works:
  148.  
  149.         /bin/echo 'abcd' | /usr/ucb/strings -o 
  150.  
  151.     Note, make sure the eight control 'G's are preserved in this
  152.     line.  If this command results in something like:
  153.  
  154.         0000008 abcd
  155.  
  156.     your strings(1) command prints out locations in decimal, else
  157.     it's octal.
  158.  
  159.     The patch script for sendmail.  NOTE, YOUR OFFSETS MAY VARY!!
  160.     This script assumes that your strings(1) command prints out
  161.     the offsets in decimal.  
  162.  
  163.         Script started on Thu Nov  3 02:08:14 1988
  164.         okeeffe:tmp {2} strings -o -a /usr/lib/sendmail | egrep debug
  165.         0096972 debug
  166.         okeeffe:tmp {3} adb -w /usr/lib/sendmail
  167.         ?m 0 0xffffffff 0
  168.         0t10$d
  169.         radix=10 base ten
  170.         96972?s
  171.         96972:        debug
  172.         96972?w 0
  173.         96972:        25701    =    0
  174.         okeeffe:tmp {4} ^D
  175.         script done on Thu Nov  3 02:09:31 1988
  176.  
  177.     If your strings(1) command prints out the offsets in octal,
  178.     change the line "0t10$d" to "0t8$d".
  179.  
  180.     After you've fixed sendmail, move both /bin/cc and /bin/ld to
  181.     something else.  (The virus uses the cc and the ld commands
  182.     to rebuild itself to run on your system.)
  183.  
  184.     Finally, kill any processes on your system that don't belong there.
  185.     Suspicious ones have "(sh)" or "xNNNNNNN" where the N's are random
  186.     digits, as the command name on the ps(1) output line.
  187.  
  188.     One more thing, if you find files in /tmp or /usr/tmp that 
  189.     have names like "xNNNNNN,l1.c", or "xNNNNNN,sun3.o", or
  190.     "xNNNNNNN,vax.o" where the N's are random digits, you've been
  191.     infected.
  192.  
  193. ------------------
  194.  3-Nov-88 09:09:57-PST,898;000000000000
  195. Received: from okeeffe.Berkeley.EDU by SRI-NIC.ARPA with TCP; Thu, 3 Nov 88 08:14:43 PST
  196. Received: by okeeffe.Berkeley.EDU (5.61/1.29)
  197.     id AA22875; Thu, 3 Nov 88 08:13:50 PST
  198. Date: Thu, 3 Nov 88 08:13:50 PST
  199. From: bostic%okeeffe.Berkeley.EDU@ucbvax.Berkeley.EDU (Keith Bostic)
  200. Message-Id: <8811031613.AA22875@okeeffe.Berkeley.EDU>
  201. To: tcp-ip@sri-nic.arpa
  202. Subject: Virus posting #2
  203.  
  204. Subject: Virus posting #2
  205. Index: usr.lib/sendmail/src/srvrsmtp.c 4BSD
  206.  
  207. Description:
  208.     This is a followup message, to clear up two points.
  209.     First off, a better value to use to PATCH your sendmail
  210.     executable is 0xff; if you're using the patch script,
  211.     change:
  212.         96972?w 0
  213.     to:
  214.         96972?w 65535
  215.  
  216.     Secondly, note, if, when you run strings(1) on your sendmail
  217.     executable, greping for ``debug'', you don't get any output,
  218.     don't worry about the problem, your system is already (we
  219.     think) safe.
  220.  
  221.