home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / span03.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.5 KB  |  178 lines
  1. ============================================================================
  2. INTER-NETWORK MEMORANDUM                               SPAN MANAGEMENT OFFICE
  3. =============================================================================
  4.                                                                   30-OCT-1989
  5.  
  6. TO:     ALL SPAN SYSTEM MANAGERS
  7.  
  8. FROM:   SPAN MANAGEMENT OFFICE
  9.         GODDARD SPACE FLIGHT CENTER  CODE 630.2
  10.         GREENBELT, MD. 20771
  11.         (301)286-7251
  12.  
  13. SUBJ:   SECURITY GUIDELINES TO BE FOLLOWED IN LATEST WORM ATTACK
  14.  
  15.                             ----------
  16.  
  17. A variant of the 16-Oct worm has been restarted on the DECnet internet. 
  18. This worm is a slightly modified copy of the original worm that infected
  19. the networks last week.  The method of attack is identical to the last
  20. except that this version calls itself OILZ_nnnn instead of NETW_nnnn. 
  21.  
  22. This variant of the worm changes the password of the account it
  23. penetrates unlike its predecessor which only changed passwords if it 
  24. penetrated a privileged account.
  25.  
  26. The effect of this modification is that if the DECNET account is breached
  27. (Userid DECNET, Password DECNET), changing of the password will disable
  28. future *INBOUND* network connections to the node, effectively removing it
  29. from the network.  THIS IS THE PRIMARY WAY IN WHICH THE CURRENT WORM IS
  30. ACHIEVING SUCCESS. 
  31.  
  32. The previous precautions and guidelines issued by this office are still
  33. applicable and valid.  The following 5 procedures should be implemented on
  34. all DECnet nodes to ensure that the worm cannot gain access to your node. 
  35.  
  36.                             ----------
  37.  
  38. 1) The current worm has been modified to attack the default DECNET account
  39.    first. It attempts to enter the default DECNET account with user=DECNET
  40.    and password=DECNET.  This is the default set up.  IT MUST BE CHANGED.
  41.    To change it, two things have to be done:
  42.  
  43.         $MCR AUTHORIZE
  44.         UAF> mod DECNET /pass=<something>     !anything BUT "DECNET"
  45.         UAF> mod DECNET /flag=lockpwd/nobatch/prclm=0
  46.         UAF> exit
  47.  
  48.    Then, to match default access control information in the executor (so
  49.    MAIL and NML will still work):
  50.  
  51.         $MCR NCP
  52.         NCP> set executor nonpriv pass <something> !NOTE this MUST match what
  53.                                                     you set in AUTHORIZE!
  54.  
  55.    The above changes will not effect operation of your system, but will
  56.    prevent the worm from entering via your default DECNET account.
  57.                    
  58. 2)  DISABLE THE TASK OBJECT
  59.  
  60.         The TASK Object MUST be removed from your DECnet database.
  61.         There are two methods by which you can accomplish this:
  62.  
  63.         1. In SYSTARTUP.COM/SYSTARTUP_V5.COM, after the call to
  64.            @SYS$MANAGER:STARTNET, insert the following line:
  65.  
  66.                 $ MCR NCP CLEAR OBJECT TASK ALL
  67.  
  68.            THIS COMMAND MUST BE EXECUTED *EACH TIME* THE NETWORK 
  69.            IS STARTED OR RESTARTED.  DOING IT AT BOOT-TIME ALONE
  70.            IS NOT SUFFICIENT.
  71.  
  72.         2. Instead of option 1, the following commands can be issued 
  73.            ONCE from a privileged account to permanently change the
  74.            information in the DECnet database for the TASK object:
  75.  
  76.            $ MCR NCP SET OBJECT TASK PASSWORD <type an INCORRECT password>
  77.            $ MCR NCP DEF OBJECT TASK PASSWORD <type an INCORRECT password>
  78.  
  79.  
  80.       If for some reason you MUST have a TASK object, please call the
  81.       SPAN network office at (301)286-7251.
  82.  
  83.  
  84. 3a) Protect SYS$SYSTEM:RIGHTSLIST.DAT so that it is has no protection bits
  85.    set for the WORLD category of users. This is how the attacking worm
  86.    determines who your valid users are.  There is some discussion about
  87.    this approach, it apparently works on 4.7 thru 5.1-1 systems, reports
  88.    from systems testing this approach say it breaks under V5.2.  So there
  89.    are 2 other approaches, set an ACL on RIGHTSLIST.DAT disabling NETWORK
  90.    access, or using a logical name to point to RIGHTSLIST.  
  91.  
  92.                               **NOTE** 
  93.    THE ACL APPROACH MAY REQUIRE A REBOOT TO PURGE THE OLD RIGHTSLIST.DAT 
  94.    ON V4.7 SYSTEMS.
  95.  
  96. 3b) Place an ACL on RIGHTSLIST.DAT to prevent network access of your user names.
  97.    For V5.X:
  98.   
  99.    SET ACL SYS$SYSTEM:RIGHTSLIST.DAT /ACL=(IDENTIFIER=NETWORK,ACCESS=NONE)
  100.  
  101.    Version 4.X systems have a more difficult time of it since the file
  102.    locked by other images.  The suggested way of protecting it is from
  103.    the SYSTEM account to:
  104.  
  105.       SET DEFAULT SYS$SYSTEM:
  106.       COPY RIGHTSLIST.DAT *.TEMP
  107.       SET ACL RIGHTSLIST.TEMP /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
  108.       RENAME RIGHTSLIST.TEMP *.DAT
  109.  
  110.    On completion, make sure that the protection is correct (W:R).
  111.  
  112.    You should purge the file as soon as possible.  However, you may
  113.    not be able to purge until the system has either been rebooted or
  114.    OPCOM  has been stopped and restarted.
  115.  
  116. 3c) The logical name approach relies on "hiding" RIGHTSLIST.DAT and defining
  117.    a system wide logical name that points to it.  Network access does not
  118.    translate this logical name.
  119.  
  120.    $RENAME SYS$SYSTEM:RIGHTSLIST.DAT any_old_file_you_want.dat
  121.  
  122.    $DEFINE/SYSTEM/EXEC        RIGHTSLIST any_old_file_you_want.dat        
  123.  
  124.          As long as the logical symbol RIGHTSLIST points to the *real*
  125.          file, it doesn't matter what you name it, or where it is.
  126.          The worm EXPECTS it to be in SYS$SYSTEM:RIGHTSLIST.DAT.
  127.  
  128. 4) If possible, verify that none of your users are using their username for
  129.    their password.  Chances are that if they were, you'd have a worm
  130.    running on your node right now though. The SPAN office has a toolkit 
  131.    available which contains a program that can be used for this purpose.
  132.    Contact NCF::NETMGR for details.
  133.  
  134. 5) Place an ACL on the DEFAULT BATCH Queue of Version 5.x systems.
  135.  
  136.    SET ACL SYS$BATCH/OBJECT=QUEUE  /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
  137.  
  138.    ACLS  are not supported on batch queues in Version 4.  It is 
  139.    suggested remote Batch be disable by inserting the following command as
  140.    the first command in SYS$SYSTEM:NETSERVER.COM, after the label LOOP:
  141.  
  142.       $ DEFINE SYS$BATCH NO_SUCH_QUEUE
  143.  
  144.    This will prevent the command from ever getting the correct queue.
  145.  
  146.                             ----------
  147. DEC also recommends that certain SYSGEN parameters be modified in 
  148. order to thwart an attack technique the worm utilizes. The SPAN
  149. management supports these suggested modifications:
  150.  
  151.         $MCR SYSGEN
  152.         USE CURRENT
  153.         SET LGI_BRK_TERM 0
  154.         SET LGI_BRK_TMO 3600
  155.         SET LGI_HID_TIM 86400
  156.         WRITE ACTIVE
  157.         WRITE CURRENT
  158.         EXIT
  159.         $
  160.  
  161. If you have been attacked by this worm, please send the node name/number
  162. that the attack came from and if possible, the username of the attacker.
  163.  
  164. Send this information your local Routing Center Manager and to NCF::NETMGR
  165. on SPAN, 6277::NETMGR on HEPnet/Other nodes on the DECnet Internet. 
  166.  
  167. The SPAN Management office also has a new version of ANTI_WANK.COM which can
  168. be started in a node's batch queue to search-out and report/destroy worms
  169. which may be running on a node.  For copies of this procedure, send mail to 
  170. NCF::NETMGR.
  171.  
  172. REMINDER -  The NSI Networking Users Group (Formerly SPAN Data System Users
  173.             Working Group - DSUWG) is meeting at Goddard Space Flight Center
  174.             on NOV 13-15. All members of the SPAN/HEPnet community are 
  175.             invited to attend. For information, contact Valerie Thomas, SPAN
  176.             Project Manager at (301) 286-4740, or send mail to NCF::THOMAS.
  177.  
  178.