home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-90:11.Security.Probes < prev    next >
Encoding:
Text File  |  1990-12-09  |  3.0 KB  |  68 lines
  1. CA-90:11
  2.                 CERT Advisory
  3.               December 10, 1990
  4.               Security probes from Italy
  5. -------------------------------------------------------------------------------
  6.  
  7. Many sites on the Internet received messages from
  8. "miners@ghost.unimi.it" (131.175.10.64) on Sunday, December 9.  The
  9. messages stated that "miners" is a group of researchers and students
  10. in the computer science department at the state university of Milano
  11. in Italy; a group testing for a "common bug" in network hosts.  In 
  12. addition to the messages, a number of sites detected probes
  13. from the unimi.it domain.  Later today, a number of individuals
  14. received a follow up message from "postmaster@ghost.unimi.it"
  15. explaining the activities.
  16.  
  17. We have received reports that this activity has now stopped, and an
  18. unofficial explanation has been provided by several administrators at
  19. the University of Milano.  The rest of this message describes the
  20. sequence of events and the security holes that were probed.
  21.  
  22. Following the original messages from miners@ghost and
  23. postmaster@ghost, another message was sent on the afternoon of December
  24. 10th from several administrators at the University of Milano.  They
  25. stated that the authorities at the University had been informed and
  26. that the attempts had stopped.  They also noted that they had not been
  27. informed of the tests in advance.
  28.  
  29. The administrators at the University of Milano have sent us a copy of
  30. the scripts that were used to probe the Internet sites.  These scripts
  31. checked for the existence of the sendmail WIZ and DEBUG commands,
  32. and attempted to get /etc/motd and/or /etc/passwd via TFTP and
  33. by exploiting an old vulnerability in anonymous FTP.  The scripts
  34. also attempted to rsh to a site and try to cat /etc/passwd.  Finally,
  35. the scripts mailed to root at each site they tested with the message
  36. from "miners@ghost.unimi.it".
  37.  
  38. The administrators at the University of Milano state that the group
  39. that did this was doing this to discover which (if any) sites might
  40. have had these security flaws, and then to let the sites know about
  41. these vulnerabilities.  They have stated that they still intend to
  42. inform sites that have these vulnerabilities.
  43.  
  44. To our knowledge, no site was actually broken into (as of December 10,
  45. 1990).  Nonetheless, the CERT does not condone this type of activity.
  46.  
  47. Most of the information in this advisory is based on information given
  48. to us via e-mail from individuals at the University of Milano.  We
  49. have not yet been able to check this information with any officials at
  50. the University; if we learn of any other significant information, we will
  51. update this advisory.
  52.  
  53. ------------------------------------------------------------------------------
  54.  
  55. Computer Emergency Response Team (CERT)
  56. Software Engineering Institute
  57. Carnegie Mellon University
  58. Pittsburgh, PA 15213-3890
  59.  
  60. Internet E-mail: cert@cert.sei.cmu.edu
  61. Telephone: 412-268-7090 24-hour hotline:
  62.            CERT personnel answer 7:30a.m.-6:00p.m. EST, on call for 
  63.        emergencies during other hours.
  64.  
  65. Past advisories and other information are available for anonymous ftp
  66. from cert.sei.cmu.edu (192.88.209.5).
  67.  
  68.