home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 911029-02 < prev    next >
Encoding:
Internet Message Format  |  1991-10-31  |  1.1 KB
  1. From: chip@eniac.seas.upenn.edu (Charles H. Buchholtz)
  2. Newsgroups: comp.unix.admin
  3. Subject: Re: Cracked accounts
  4. Keywords: intruder security CERT
  5. Message-ID: <54618@netnews.upenn.edu>
  6. Date: 29 Oct 91 13:44:22 GMT
  7. References: <860@cert.sei.cmu.edu>
  8. Organization: University of Pennsylvania
  9.  
  10. In article <860@cert.sei.cmu.edu> ecd@cert.sei.cmu.edu (Edward DeHart) writes:
  11. >
  12. >When examining files on your system, please do not stop with just the files
  13. >in the cracked account.  Check the /etc/passwd file for uid changes or
  14. >new accounts.  Check the /etc/inetd.conf file for modifications such as
  15. >the TFTP daemon being enabled or a service that executes /bin/sh or /bin/csh.
  16.  
  17. And check all file systems for files owned by the cracked user.  It's
  18. easy to hide a setuid shell somewhere.
  19.  
  20. The easiest thing to do is to run COPS regularly, and immediately
  21. after discovering a breakin.  I believe that COPS makes all of the
  22. above checks, and then some.
  23.  
  24.  
  25. Charles H. Buchholtz       Systems Programmer     chip@seas.upenn.edu
  26.           School of Engineering and Applied Science
  27.               University of Pennsylvania
  28.  
  29.  
  30.  
  31.