home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 911029-01 < prev    next >
Encoding:
Internet Message Format  |  1991-10-31  |  2.5 KB
  1. From: ecd@cert.sei.cmu.edu (Edward DeHart)
  2. Newsgroups: comp.unix.admin
  3. Subject: Re: Cracked accounts
  4. Keywords: intruder security CERT
  5. Message-ID: <860@cert.sei.cmu.edu>
  6. Date: 29 Oct 91 05:18:13 GMT
  7. Organization: Computer Emergency Response Team, Pittsburgh, PA
  8.  
  9.  
  10. I have been following the discussions about closing an account and
  11. I am glad to see folks suggest changing the login shell to something
  12. that prints a messages and then exits.  Too many sites just change the
  13. password.  Just changing the password might not keep the user out of the
  14. account if your UNIX systems trust other UNIX systems via .rhosts files and
  15. the /etc/hosts.equiv file.
  16.  
  17. I would like to address the problem of closing an account which has been
  18. broken into.  In addition to locking or closing the account, I would like
  19. to suggest a few more steps to take.
  20.  
  21. Please do not confine the examination of your system to just the locked
  22. account.  We have found that too many system managers close the account
  23. used by the intruder and examine the files in just that account.  If an
  24. intruder really did gain access to your system there is a good chance that
  25. the intruder has copied the /etc/passwd file from your system to another
  26. system.  There are several password cracking programs that would allow
  27. the intruder to crack passwords on other accounts.  To solve this problem
  28. you could either change the passwords on all accounts at one time and
  29. make sure that your users never use their old passwords or you could use
  30. one of the password breaking programs yourself. This will allow you to
  31. change the accounts with easy to guess passwords.
  32.  
  33. When examining files on your system, please do not stop with just the files
  34. in the cracked account.  Check the /etc/passwd file for uid changes or
  35. new accounts.  Check the /etc/inetd.conf file for modifications such as
  36. the TFTP daemon being enabled or a service that executes /bin/sh or /bin/csh.
  37. To be on the safe side, reload the operating system binaries in /bin, 
  38. /usr/bin, /usr/etc, /etc, and /usr/ucb (if you have this directory) from
  39. the vendor's distribution tape (not from a backup tape).
  40.  
  41. My last suggestion is to contact us.  We are able to provide additional
  42. information that could help you secure your system.  The information
  43. gained by us from your experience could be an important part in a much
  44. larger puzzle.
  45.  
  46. Thank you,
  47. Ed DeHart
  48. Computer Emergency Response Team
  49. Internet E-mail: cert@cert.sei.cmu.edu
  50. Telephone: 412-268-7090 24-hour hotline:
  51.            CERT personnel answer 7:30a.m.-6:00p.m. EST, on call for
  52.            emergencies during other hours.
  53.  
  54.  
  55.  
  56.