home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia_66.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.8 KB  |  111 lines
  1.  
  2.    Founded By:    |  _                        _______
  3.  Guardian Of Time |  __      N.I.A.   _      ___   ___  Are you on any WAN? are
  4.    Judge Dredd    |  ____     ___    ___    ___     ___ you on Bitnet, Internet
  5. ------------------+  _____    ___    ___    ___     ___  Compuserve, MCI Mail,
  6.   X           /      ___ ___  ___    ___    ___________  Sprintmail, Applelink,
  7.    +---------+       ___  ___ ___    ___    ___________    Easynet, MilNet,
  8.    | 14WED90 |       ___   ______    ___    ___     ___    FidoNet, et al.?
  9.    | File 66 |       ___    _____    ___    ___     ___ If so please drop us a
  10.    +---------+               ____     _     __      ___        line at
  11.                               ___           _       ___ elisem@nuchat.sccsi.com
  12.         Other World BBS        __
  13.            Text Only            _    Network Information Access
  14.                                        Ignorance, There's No Excuse.
  15.  
  16.                             CERT: VAX/VMS Break-Ins
  17.                                 by Judge Dredd
  18.  
  19.  
  20. Sorry for being late, but i just got it from DDN.  My site has been down for
  21. the past week or so and I was not able to get it from CERT themselves.
  22. Enjoy.
  23.  
  24. CA-90:09                    CERT Advisory
  25.                           November 8, 1990
  26.                           VAX/VMS Break-ins
  27.  
  28. DESCRIPTION:
  29.  
  30.      Several VAX/VMS systems are presently being subjected to
  31. intrusions by a persistent intruder(s).  The intruder utilizes DECnet,
  32. TCP/IP, and/or X25 access paths to gain unauthorized entry into
  33. accounts (privileged and non-privileged).  Once a privileged account
  34. is breached, the intruder disables auditing & accounting and installs
  35. a trojan horse image on the system.  In the most recent attacks, the
  36. intruder has installed the image VMSCRTL.EXE in SYS$LIBRARY.  (Note
  37. that VMSCRTL.EXE is not a vendor-supplied filename.) The command
  38. procedure DECW$INSTALL_LAT.COM is placed in SYS$STARTUP and installs
  39. the image.  Note that these images and command files are sufficiently
  40. camouflaged so as to appear to be valid VMS system files, even upon
  41. close inspection.
  42.  
  43.      There is no evidence that the intruder is exploiting any system
  44. vulnerability to gain access to the affected systems.  The  intruder
  45. uses valid username/password combinations to gain access to accounts.
  46. The intruder most likely obtains these username/password combinations
  47. by systematically searching through text files on the user disks of
  48. penetrated systems for clear-text username/password pairs.  These
  49. username/password combinations are often valid on remote systems,
  50. which allows the intruder to access them as well.  Once a privileged
  51. account is accessed, the intruder will use the AUTHORIZE utility to
  52. detect and exploit dormant accounts (especially dormant privileged
  53. accounts).  The intruder has also assigned privileges to dormant
  54. non-privileged accounts.
  55.  
  56.  
  57. IMPACT:
  58.  
  59. Unauthorized users who gain privileged and/or non-privileged system
  60. access might deliberately or inadvertently affect the integrity of
  61. system information and/or affect the integrity of the computing
  62. resource.
  63.  
  64.  
  65. SOLUTION:
  66.  
  67. The following steps are recommended for detecting whether systems at
  68. your site have been compromised:
  69.  
  70.      1.  Search for SYS$LIBRARY:VMSCRTL.EXE and
  71. SYS$STARTUP:DECW$INSTALL.COM.  (This can be done with the following
  72. DCL command: $ DIR device:[*...]/SINCE=date /MODIFIED).  Note that to
  73. call the command procedure which installs the image, the intruder will
  74. utilize SYSMAN to modify SYS$STARTUP:VMS$LAYERED.DAT.  Thus, there
  75. will be an unexplained modification to SYS$STARTUP:VMS$LAYERED.DAT.
  76. This may be the surest indication of an intrusion, since the intruder
  77. could easily change the names and locations of the trojan horse image
  78. and its accompanying command procedure.
  79.  
  80.      2.  If you discover that auditing or accounting has been disabled
  81. for a period of time, go into AUTHORIZE and ensure that no password or
  82. other changes were made during that time.  Password changes while
  83. auditing and accounting have been disabled may indicate unauthorized
  84. access into your system.
  85.  
  86.  
  87.      The following pre-emptive actions are suggested:
  88.  
  89.      1. DISUSER all dormant accounts, especially dormant privileged
  90. accounts.
  91.  
  92.      2. Advise all users of the security problems inherent in placing
  93. username/password combinations in text files.  Consider searching your
  94. user disks for such occurrences.
  95.  
  96.      3. Change all vendor-supplied default passwords (e.g., MAILER,
  97. DECNET, SYSTEM) and make sure all passwords are difficult to guess.
  98.  
  99.      4. Make sure that all privileged users have only the minimum
  100. privileges that are REQUIRED to perform their current tasks.
  101.  
  102.      5. Closely monitor all relevant audit trails.
  103.  
  104. ---
  105.  
  106. ...if everything goes well look for text from Phrack Inc. soon (Nov-Dec)
  107. the date we got was Nov 17.
  108.  
  109.  
  110.  
  111.