home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / bbs / hacker.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.1 KB  |  134 lines
  1. Attension all PCboard sysops! Be ware of any PPEs written by a user
  2. going by the handle of Ram Drive. Ram Drive is responcibile for
  3. using a backdoor which he wrote in one of the PPEs he sold me.
  4. Ram Drive proceeded to give himself sysop access, as well as
  5. multiple other accounts which he used as backups. He didn't
  6. stop there. He later called back and zipped up my entire BBS
  7. as well as my terminal phonebook(s) and user lists. Then
  8. systimatically deleted one directory after another (this even
  9. includes my DOS dir). Because I was running under OS/2 the system
  10. was stable and did not crash.
  11.  
  12. Reasons Ram Drive is suspected:
  13.  
  14. 1] Motive - I modded the PPE which I "**BOUGHT**" from Ram Drive. This
  15.    would have made Ram Drive mad enough to attempt to take down the board.
  16.  
  17. 2] I got in a big argumenent w/ Ram Drive a few months back over some
  18.    source code he would not distribute to me. I ended the conversation by
  19.    telling him i would HEX the PPEs if i must. (I was only threatening.
  20.    I never did.) This pissed him off.
  21.  
  22. 3] Since Ram Drive sells this PPE, only three others have it who are
  23.    ME, Ram Drive, and a local sysop. The local sysop is not suspected
  24.    because the hacker connects at 24000 as the sysop only has a 14.4.
  25.    Ram Drive would be the only one to know of the backdoor in the PPE 
  26.    as he was the one who wrote it. Ram Drive connects at 24000 as well.
  27.  
  28. 4] The Hacker would need to know a lot about PCB and Doorway in order
  29.    pull this off.  Since Ram Drive is a Co on a PCB and he ran his
  30.    own PCB he would have the necessary knowledge to pull this off.
  31.  
  32. 5] Any 5th Dimension Software PPE should be immediately deleted as complex
  33.    backdoors were found in a number of them. Obviously they were placed
  34.    there as means of destruction.
  35.  
  36. 6] Even *IF* the hacker is not Ram Drive (very doubtful) he is still
  37.    responsible as he put the backdoor in the PPE in the first place.
  38.  
  39. 7] When in Doorway Ram Drive raised other accounts to sysop level
  40.    as a backup. This way he could use them in case I caught on.
  41.    He raised the following accounts from normal user "75" to sysop level
  42.    "110" - Anaconda, Battleaxe, and Doomsday (as well as his own account).
  43.    
  44.    Here are the actual logs and user list:
  45.    *******************************************************
  46.    07-08-94 (11:16) (1) DOOMSDAY (24000E) (G) KRONICK - NO
  47.          PCBoard Modded Is Now Selected.
  48.          Modem: CONNECT 24000/ARQ
  49.          Caller Number: 4,184
  50.          Caller Security: 75
  51.          %\pcb\text\pcbt.328
  52.          IBM-Elite (1) Conference Abandoned
  53.          %\pcb\text\pcbt.328
  54.          %\pcb\text\pcbt.413  <---Attempted to access Doorway
  55.          %\pcb\text\pcbt.326
  56.          (C:\PCB\CNFN\IBM\ONELINEF) is missing!
  57.          (C:\PCB\CNFN\IBM\ONELINEF) is missing!
  58.    DOOMSDAY IS RUNNING RAD-STATS
  59.          Operator Paged at 11:18
  60.          Reason for paging: (hack?)
  61.          Error: C:\PCB\PPL\CHATBOX\NO.TXT (File not found)
  62.          No one is available right now for a chat.
  63.          (D:\PCB\GEN\BLT1.) is missing!
  64.          CNAV v3.10 [(11:19) Active View]
  65.          CNAV v3.10 [(11:19) Active View]
  66.    DOOMSDAY IS RUNNING RAD-STATS
  67.          Minutes Used: 4
  68.    07-08-94 (11:20) (1) DOOMSDAY Off Normally
  69.    *******************************************************
  70.    07-08-94 (11:21) (1) BATTLEAXE (24000E) (G)
  71.          PCBoard Modded Is Now Selected.
  72.          Modem: CONNECT 24000/ARQ
  73.          Caller Number: 4,185
  74.          Caller Security: 75
  75.          %\pcb\text\pcbt.328
  76.    BATTLEAXE IS RUNNING RAD-STATS
  77.          Minutes Used: 1
  78.    07-08-94 (11:22) (1) BATTLEAXE Off Normally
  79.    *******************************************************
  80.    07-08-94 (11:29) (1) ANACONDA (24000E) (G)
  81.          PCBoard Modded Is Now Selected.
  82.          Modem: CONNECT 24000/ARQ
  83.          Caller Number: 4,186
  84.          Caller Security: 76
  85.          %\pcb\text\pcbt.328
  86.    ANACONDA IS RUNNING RAD-STATS
  87.          Minutes Used: 0
  88.    07-08-94 (11:29) (1) ANACONDA Off Normally
  89.    *******************************************************
  90.    07-08-94 (11:31) (1) RAM DRIVE (24000E) (G)
  91.          PCBoard Modded Is Now Selected.
  92.          Modem: CONNECT 24000/ARQ
  93.          Caller Number: 4,187
  94.          Caller Security: 75
  95.          %\pcb\text\pcbt.328
  96.    RAM DRIVE IS RUNNING RAD-STATS
  97.          CSSC v2.30 [Opened: 11:31]   <----  This is where
  98.          CSSC v2.30 [Closed: 11:32]       I broke in and chated
  99.          CSSC v2.30 [Opened: 11:34]       him twice.
  100.          CSSC v2.30 [Closed: 11:35]
  101.    RAM DRIVE IS RUNNING RAD-STATS
  102.          %\pcb\text\pcbt.413  <-----Attempted to access Doorway Again!!!
  103.          Minutes Used: 4
  104.    07-08-94 (11:35) (1) RAM DRIVE Off Normally
  105.  
  106.    I changed all 110 accounts back to normal security before he had a
  107.    chance to use them.  As you can see he procedes to use all 3 of the 
  108.    accounts he changed to sysop security before finally using his own 
  109.    account.   While using his own account I broke in and chated him 
  110.    pretending to not know what was going on,  I asked him a few questions
  111.    that only Ram Drive would know the answer and confirmed it was 
  112.    actually Ram Drive.
  113.  
  114. I modded Rad Stats (a view stats PPE) as well as his PPEs to let me know
  115. when: A- it was run B- the user attempted to gain access to the backdoor.
  116. It simply added a hack line to his user comment. Nailed Doomsday -> Ram Drive
  117. red handed. As you can see by the logs it is obvious this is the same user.
  118.  
  119.  
  120. As you can see Ram Drive used the stats program to view his security 
  121. level each time he called. He did this to see if he is at sysop level 
  122. so he can again attempt to delete the board. On the first and last attempt 
  123. (Doomsday and Ram Drive) his account comment was changed to "I am a hacker 
  124. - Running Backdoor in xxxxxx.ppe"
  125. I modded the ppe and took out the backdoor and replaced it w/ a command
  126. to add the above hack line to all accounts that attemt to use the backdoor.
  127.  
  128. Ram Drive and his software is VERY dangerous to all sysops and users alike.
  129. He should be blacklisted nationwide and his software deleted.
  130.  
  131. -Razor / Twilight Time   
  132. [The Razor's Edge]
  133.  
  134.