home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.a19 < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.3 KB  |  136 lines
  1. ________________________________________________________________________
  2.  
  3.                THE COMPUTER INCIDENT ADVISORY CAPABILITY
  4.  
  5.  
  6.  
  7.                                  CIAC
  8.  
  9.  
  10.  
  11.                           ADVISORY  NOTICE
  12.  
  13. ________________________________________________________________________
  14.  
  15.  
  16.  
  17. UNIX Internet Attack Advisory
  18.  
  19.  
  20.  
  21. February 23, 1990, 1500 PST                                     Number A-19
  22.  
  23.  
  24.  
  25. CIAC has learned of a large number of attacks on UNIX machines connected to the
  26.  
  27. Internet.   There are several groups of attackers using a variety of different
  28.  
  29. methods to break into systems.  One method is to use tftp to steal the password
  30.  
  31. file.  Another is to use sendmail to append additional entries onto .rhost
  32.  
  33. files.  Still another is to login to unpassworded system accounts and "Joe"
  34.  
  35. accounts (in which the username and password are identical).  Many of the
  36.  
  37. attackers then exploit unpatched vulnerabilities to obtain root privileges.
  38.  
  39. Using the root account, some have installed a modified version of /bin/login.
  40.  
  41. Modifications to /etc/utmp, /etc/wtmp, and /usr/adm/lastlog have also been made
  42.  
  43. to mask the intrusion.    The motivation for intrusion largely appears to be use
  44.  
  45. of machine time rather than destruction of files or damage to systems.
  46.  
  47. However, cases of malicious activity have also been observed.  This intrusion
  48.  
  49. activity is widespread, and is usually difficult to detect.
  50.  
  51.  
  52.  
  53. CIAC recommends that you take the following actions:
  54.  
  55.  
  56.  
  57. 1. Ensure that you have installed any applicable patches (e.g., for tftp,
  58.  
  59. restore/ dump, etc.--see previous CIAC bulletins) in your UNIX system.  (CIAC is
  60.  
  61. currently preparing a checklist to help you verify that you have installed all
  62.  
  63. the  applicable patches.)
  64.  
  65.  
  66.  
  67. 2. Regularly perform an integrity check on /bin/login 
  68.  
  69.  
  70.  
  71. 3. Check for unpassworded accounts and "Joe" accounts--CIAC can supply DOE sites
  72.  
  73. with a copy of the Security Profile Inspector, a UNIX password checking tool
  74.  
  75.  
  76.  
  77. 4. Look for suspicious connections from the University of Texas and Dartmouth
  78.  
  79. University
  80.  
  81.  
  82.  
  83. 5. Look for strange files in /tmp
  84.  
  85.  
  86.  
  87. For additional information or assistance, please contact CIAC: 
  88.  
  89.  
  90.  
  91.         David S. Brown
  92.  
  93.         (415) 423-9878 or (FTS) 543-9878
  94.  
  95.         FAX: (415) 423-0913 or (415) 294-5054
  96.  
  97.  
  98.  
  99. CIAC's business hours phone number is (415) 422-8193 or (FTS) 532-8193. You may
  100.  
  101. also send e-mail to:
  102.  
  103.  
  104.  
  105.         ciac@tiger.llnl.gov
  106.  
  107.  
  108.  
  109. Neither the United States Government nor the University of California nor any of
  110.  
  111. their employees, makes any warranty,  expressed or implied, or assumes any legal
  112.  
  113. liability or responsibility for the accuracy, completeness, or usefulness of any
  114.  
  115. information, product, or process disclosed, or represents that its use would not
  116.  
  117. infringe privately owned rights.  Reference herein to any specific commercial
  118.  
  119. products, process, or service by trade name, trademark manufacturer, or
  120.  
  121. otherwise, does not necessarily constitute or imply its endorsement,
  122.  
  123. recommendation, or favoring by the United States Government or the University of
  124.  
  125. California.  The views and opinions of authors expressed herein do not
  126.  
  127. necessarily state or reflect those of the United States Government nor the
  128.  
  129. University of California, and shall not be used for advertising or product
  130.  
  131. endorsement purposes.
  132.  
  133.  
  134.  
  135. 
  136.