home *** CD-ROM | disk | FTP | other *** search
/ Nebula 1 / Nebula One.iso / Utilities / Unix / satan-1.1.1 / rules / todo < prev    next >
Text File  |  1995-04-07  |  3KB  |  73 lines
  1. #
  2. # Rules that specify what probes to try next. Each rule is applied once
  3. # to every 'a' SATAN record. Format of this file is:
  4. #
  5. #    condition TABs target tool tool-arguments
  6. #
  7. # Empty lines and text after a "#" character are ignored. Long lines may
  8. # be broken with backslash-newline.
  9. #
  10. # The condition is a PERL expression, with full access to the global
  11. # $target..$text variables and to everything else that has been found out
  12. # sofar. The target is the host that the tool is aimed at. A "*" before
  13. # the tool argument list is a hack that specifies that tool arguments
  14. # should be ignored when looking for duplicate tool invocations.
  15. #
  16. # When the condition is satisfied, the tool is executed as:
  17. #
  18. #    tool tool-arguments target
  19. #
  20. # The $junk variable is available for temporary results (wow!).
  21. #
  22. # The software keeps track of already executed tool invocations.
  23. #
  24. # version 2, Mon Mar 27 20:42:15 1995, last mod by wietse
  25. #
  26.  
  27. #
  28. # Output from the rpcinfo probe. Tools will be executed only when
  29. # permitted by attack level constraints.
  30. #
  31. $service eq "mountd"            $target "showmount.satan"
  32. $service eq "mountd"            $target "nfs-chk.satan" "-t $short_timeout"
  33. $service eq "ypserv"            $target "ypbind.satan"
  34. $service eq "rexd"            $target "rex.satan"
  35. $service eq "rusersd"            $target "rusers.satan"
  36.  
  37. #
  38. # Output from the finger or rusers probe: finger the origin of the login.
  39. #
  40. $severity eq "l" && "$trustee|$trusted" =~ /(.*)@.*@(.*)/ \
  41.                     $2 "finger.satan" "-u $1"
  42. #
  43. # Output from the port scanners. Tools will be executed only when
  44. # permitted by the attack level constraints.
  45. #
  46. $service eq "ftp"            $target "ftp.satan"
  47. $untrusted_host && $service eq "shell"    $target "rsh.satan"
  48. $untrusted_host && $service eq "shell"    $target "rsh.satan" "-u root"
  49. $service eq "tftp"            $target "tftp.satan"
  50. $service =~ /X-([0-9]+)/        $target "xhost.satan" "-d $target:$1"
  51.  
  52. #
  53. # Output from showmount. The "*" at the beginning of the tool argument
  54. # list is a hack that specifies that tool arguments should be ignored
  55. # when looking for duplicate tool invocations.
  56. #
  57. $trustee =~ /\/export\/root\/(.*)@(.*)/ && ($junk = &fix_hostname($1,$2)) ne ""\
  58.                     $target "boot.satan" $junk
  59.  
  60. #
  61. # Output from the bootparam probe gives us the NIS domain name. With
  62. # ypwhich we can ask the host who its NIS server is.
  63. #
  64. $service eq "boot" && $service_output =~ /domain (\S+)/ \
  65.                     $target "ypbind.satan" "-d $1"
  66. $service eq "boot" && $service_output =~ /domain (\S+)/ \
  67.                     $target "yp-chk.satan" "$1"
  68. #
  69. # Example of site specific rule; SGI's, for instance, have a "guest", "lp",
  70. # and other account with no password when out-of-the-box from SGI.  Here's
  71. # how you could check for this:
  72. $untrusted_host && /IRIX/        $target "rsh.satan" "-u guest"
  73.