A.P. Lawrence

security breakin

If this isn't exactly what you wanted, please try our Search (there's a LOT of techy and non-techy stuff here about Linux, Unix, Mac OS X and just computers in general!):

From - Thu Mar 23 08:33:55 2000
Path: news.randori.com!feed2.onemain.com!feed1.onemain.com!iad-peer.news.verio.net!news.verio.net!iad-read.news.verio.net.POSTED!bilver.wjv.com!bill
Newsgroups: comp.unix.sco.misc
From: bill@wjv.com.REMOVEME (Bill Vermillion)
Subject: Re: Scobot Hack
Organization: W.J.Vermillion - Orlando / Winter Park FL Message-ID: <FrvLJJ.p63@wjv.com.REMOVEME> References: <38D9A9FC.C7D65550@bellsouth.net> <recjdsk2vilp0urrt5odlv1d1qseaf93e7@4ax.com>
Lines: 105
Date: Thu, 23 Mar 2000 13:02:07 GMT
NNTP-Posting-Host: 157.238.208.5
X-Complaints-To: abuse@verio.net
X-Trace: iad-read.news.verio.net 953817723 157.238.208.5 (Thu, 23 Mar 2000 13:22:03 GMT)
NNTP-Posting-Date: Thu, 23 Mar 2000 13:22:03 GMT
Xref: news.randori.com comp.unix.sco.misc:57045
X-Mozilla-Status: 8010
X-Mozilla-Status2: 00000000

In article <recjdsk2vilp0urrt5odlv1d1qseaf93e7@4ax.com>,
Jeff Liebermann  <jeffl@comix.santa-cruz.ca.us> wrote:
>On Thu, 23 Mar 2000 00:22:04 -0500, Geoff Bleau <geoffb@bellsouth.net>
>wrote:

>>/etc/shadow had also been modified.

>If he can do that, he has the root password.

>>I plan on restoring from a 2 week old backup tomorrow - and then
>>changing all passwords while in single-user mode.

>>?? - I am hesitant to change passwords now - as it looks like one
>>of the functions of the tcl scripts is to re-direct or duplicate
>>info to a 'log' file ( for possible mailing ?? )

>Lousy logic.  He has the root password.  He problaby has a mechanism
>(trap door, SUID script, SGID scrip or rootshell) for changing the
>password again.  The only way you're going to keep him off the system
>long enough to clean up the mess is to change ALL the passwords, and
>clean out his junk.

There is the possibility that what Geoff found was left there to
throw someone off-guard.  You find the file - and say "Ah ha! I've
found him".  When in reality there is something lurking deep inside
where no-one would think of looking, but the script was placed
there as a decoy to make a person think they had found the culprit.

>1. Pull the plug from the network, modem server, terminal server,
>etc.

>2.  Clean out /tmp /usr/tmp and any other world writeable directories.

>3.  Change the root password.  Also change the passwords for mmdf,
>news, admin, backup, and any other administrative accounts with live
>logins.

>4.  Then run:
>    find / \( -mtime -1 -type f \) -exec ls -adl {} \;

>This will find any files that have been modified today.  Slog through
>the list.  If my *GUESS* is right, password changes and root logins
>are being logged to a file or sent via email and this will show the
>file.

This pre-supposes the cracker didn't set the clock back on the
system so that any files that he really needed to break in at a
future date could have time stamps that looked close to the
original install date while he was on the system.  You are also
assuming that if he has some hidden scripts that store changed
password data for exampe, that they don't change the time stamp on
the file immediately after they are written. If all you look for is
the standard displayed date as show in ls -lat then it might be
missed.

The systems are more robust now but in the day of Xenix you could
easily hide directory entries so that a casaul observer would not
see them.  It was relatively easy then to place non-printable
characters in a file name.

If I don't remember this correctly (it's been a very long time)
forgive me - but consider this.

Make a file whose name is contains a reverse line feed, two dots,
two backspaces and two dots. What you will see on a list IF you add
the -a option is the standard . for this directory, while the ..
will be just a bit brighter on the screen and it is being displayed
on top of .. . An unobservant user might not notice that.

An expert cracker will know what to hide, remove, modify, etc., to
cover their tracks.  The "Cukoo's Egg" by Clifford Stahl - a few
years ago - shows just how easy something could slip by.  (I was
prowling through my piles of books recently and came across cone
called Computer Crime - printed in the early '80s along with the
original paper on the disection of the internet worm of '86 that
Spafford sent out from Purdue.  Intrusion has been around for a very
long time.  But as with anything as the safeguards become strongs
the hackers become more wily.

>5.  If your unspecified version of SCO Unix happens to be 3.2v5.0.x,
>run:
>    custom -v strict
>and all the corrupted, tweaked, or missing files will be checked.
>This may take a long time depending upon machine speed.

Providing the cracker didn't modify these hide something. 

>However, methinks that saving the *DATA* to tape, blasting the
>whole mess, installing your unspecified version of SCO Unix from
>scratch, restoring the data, and fixing anything the was forgotten,
>will need to be performed.

That's really the only secure way.  There is really is no way to
know what might have been changed unless you start with a fresh
known distribution.   That's even noted in the SCO C level
security.  Once the system security is relaxed it can never be made
secure again without a complete re-install.

Trust no one.  Read the "Art of War" - and be prepared.  How far
someone goes in protection really depends on how much they think
they have to lose.

-- 
Bill Vermillion   bv @ wjv.com 

Enter your email address for automatic notification of new posts here
(be sure to whitelist 'feedburner.com' if you use spam filtering)

Lone-Tar Backup and Disaster Recovery
for Linux and Unix

/Bofcusm/320.html copyright 1997-2004 (various authors) All Rights Reserved

Have you tried Searching this site?

Unix/Linux/Mac OS X support by phone, email or on-site: Support Rates

This is a Unix/Linux resource website. It contains technical articles about Unix, Linux and general computing related subjects, opinion, news, help files, how-to's, tutorials and more. We appreciate comments and article submissions.

Publishing your articles here