home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.a1 < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.7 KB  |  204 lines
  1.  
  2.  
  3. ________________________________________________________________
  4.  
  5.  
  6.  
  7.  
  8.  
  9.                                 CIAC
  10.  
  11.                 Computer Incident Advisory Capability
  12.  
  13.  
  14.  
  15.                         Information Bulletin
  16.  
  17. ________________________________________________________________
  18.  
  19.  
  20.  
  21.  
  22.  
  23.                                                         October 9, 1989
  24.  
  25.                                                         Notice A-1
  26.  
  27.  
  28.  
  29.         CIAC (the Computer Incident Advisory Capability) has learned
  30.  
  31. of a series of attacks on a set of UNIX computers attached to the
  32.  
  33. Internet.  This series of attacks targets anonymous ftp to gain access
  34.  
  35. to the password file, then uses accounts from that file that use
  36.  
  37. easily guessed passwords to gain access to the machine.  Once access
  38.  
  39. is gained to the machine, a trojan horse is installed in the Telnet
  40.  
  41. program (as described in a previous CIAC bulletin) to record further
  42.  
  43. user accounts and passwords.  The TFTP facility has also been utilized
  44.  
  45. in this sequence of breakins.  This bulletin describes the nature of
  46.  
  47. the threat, and suggests a procedure to protect your computers.
  48.  
  49.  
  50.  
  51.         This is a limited distribution information bulletin to warn
  52.  
  53. your site of a series of hacker/cracker attacks on the Internet.  This
  54.  
  55. bulletin is being sent to you because our records indicate that your
  56.  
  57. site is connected to the Internet.  Please inform CIAC if this is not
  58.  
  59. true.  Also, if you are not the CPPM or CSSM for your site, will you
  60.  
  61. please promptly forward this bulletin to that person or persons?
  62.  
  63.  
  64.  
  65.         There has been a series of breakins into UNIX machines
  66.  
  67. connected to the Internet.  These breakins at first were largely into
  68.  
  69. systems in North and South Carolina, but they have spread rapidly.
  70.  
  71. They appear to be the work of a group of hackers with fairly
  72.  
  73. identifiable patterns of attack.  You should be aware of these attack
  74.  
  75. patterns, and should take measures described below to prevent breakins
  76.  
  77. at your site.
  78.  
  79.  
  80.  
  81.         The attackers are using anonymous ftp (the ability to use ftp
  82.  
  83. as a guest) to obtain copies of an encrypted password file for a
  84.  
  85. machine.  They then decrypt passwords, and use them to log into an
  86.  
  87. account on that machine.  They become a root user, then install the
  88.  
  89. trojan horse version of Telnet, about which CIAC alerted you nearly
  90.  
  91. two months ago.  This trojan horse collects passwords of Telnet users,
  92.  
  93. which the hackers then use to break into other machines.  The hackers
  94.  
  95. are also using .rhost and host.equiv to gain entry into other systems
  96.  
  97. once they have broken into a new machine.  The TFTP facility is also
  98.  
  99. used to gain access to a machine.
  100.  
  101.  
  102.  
  103.         The attackers have not been destroying files or damaging
  104.  
  105. systems.  To avoid being detected and/or monitored, however, they have
  106.  
  107. many times waited for several weeks or even longer after obtaining
  108.  
  109. passwords to break in to a system.  This threat seems to center around
  110.  
  111. systems that have not installed the distributed patches to already
  112.  
  113. known vulnerabilities in the UNIX operating system.
  114.  
  115.  
  116.  
  117.         CIAC recommends that you take three courses of action:
  118.  
  119.  
  120.  
  121.         1) Look for connections between machines in your network and
  122.  
  123. host machines that would not normally be connected to your site.  If
  124.  
  125. many of these connections exist, there is a strong possibility that
  126.  
  127. they may not be legitimate.
  128.  
  129.  
  130.  
  131.         Currently many of these unauthorized connections and attacks
  132.  
  133. have been using:
  134.  
  135.  
  136.  
  137.         - universities in North and South Carolina
  138.  
  139.         - universities in Boston
  140.  
  141.         - universities and computer companies in the California
  142.  
  143.           Berkeley/Palo Alto area 
  144.  
  145.  
  146.  
  147. Any unusual and unexplained activity from these locations are worth
  148.  
  149. special attention, as they are likely to be attacks.
  150.  
  151.  
  152.  
  153.         2) Look for the Telnet trojan horse, using the command:
  154.  
  155.  
  156.  
  157.            strings `which telnet` | grep  \@\(\#\) | grep  on/off
  158.  
  159.  
  160.  
  161. Any lines that are printed from this command indicate that you have
  162.  
  163. been affected by the trojan horse.  If you discover that you have been
  164.  
  165. affected by the trojan horse program, please contact CIAC for recovery
  166.  
  167. procedures.
  168.  
  169.  
  170.  
  171.         3) If the host.equiv file contains a "+" unauthorized users
  172.  
  173. can gain entry into a system.  You should therefore inform system
  174.  
  175. managers that they should remove "+" from any host.equiv files.
  176.  
  177.  
  178.  
  179.         Please refer questions to:
  180.  
  181.  
  182.  
  183.         CIAC, Thomas Longstaff
  184.  
  185.         Lawrence Livermore National Laboratory
  186.  
  187.         P.O. Box 808
  188.  
  189.         L-540
  190.  
  191.         Livermore, CA  94550
  192.  
  193.         (415) 423-4416 or (FTS) 543-4416
  194.  
  195.         longstaf@frostedflakes.llnl.gov
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202.  
  203. 
  204.