Am Sun, 31 May 1998 schriebst Du:

>- Es werden die Befehle "ps,ls,du,top" und noch ein paar andere
>  ausgetauscht
>- Es wir ein daemon aufgesetzt, der von den oben genannten Befehlen
>  nicht angezeigt wird
>- Dieser Daemon ist ein sog. password-sniffer, der am Netz saemtliche
>  Passworte mitloggt und anschliessend versendet.
>- Weiters versucht das Script, automatisch in andere Rechner 
>  (meines Wissens nur ueber den nntpd und nicht mit den gesnifften
>   Passwortern), die am selben Netz haengen, einzudringen und
>  das ganze Spiel zu wiederholen.

Dazu ein paar kleine Bemerkungen von mir:
Ohne bestreiten zu wollen, dass irgendeine Attacke mit dem nntpd moeglich sein
sollte:
1) SO bestimmt nicht :-))
-> Es gibt viele Arten von Attacken - aber gleich vorhandene Programme
austauschen lassen? Und das womoeglich noch unabhaengig vom Betriebssystem?
Hoffentlich finde ich dann auch der Sparc keine Linux-Binaries :-))

2) Ein deamon wird installiert, der nicht auftaucht? Und dann noch das netz
snoopt? Irgendwie toll, dDein Skript: nntpd laeuft als user news - aber snoopen
kann nur root. (Trifft dann uebrigens auch auf das abaendern von df und so zu!)

>Auf der WU allerdings wurden in einem Institut saemtliche Rechner 
>geknackt.
Nunja - mag sein,d ass da irgendwo irgendwas genackt wurde - kann ich nichts zu
sagen. Aber SO NICHT

>Also: wer den nntpd nicht braucht, sollte ihn besser abdrehen.
Jau - und um ganz sicherr zu gehen: loescht den User root - und am besten
schaltet ihr den Rechner aus und nie wieder an - das ist sicher :-))

>Ich haette hier noch eine Frage an alle Spezialisten: 
>Wie kann man sich sicher sein, dass sein Rechner noch nicht geknackt 
>wurde, wenn man den nntpd am Laufen hat? Da ps,ls etc. nicht mehr 
>korrekt funktionieren, bringen diese Befehle nix. Das einzige, was 
>mir einfaellt, ist die Kalkulation der Checksumme der betroffenen 
>Programme. Gibt es sonst noch irgendeine Moeglichkeit, alle Prozesse
>anzuzeigen? 
1) Es gibt keine 100% Sicherheit. Mitlesen von bugtraq und anderen
Security-listen hilft aber.
2) Unnoetige Risiken vermeiden - also ueberlegen, was man an Software einsetzt.
Eine Software, die von 100.000 Leuten aktiv genutzt wird, ist i.d.R. sicherer
als eine Alpha-Version, die noch niemand nutzt.
3) Hoer auf, irgendwelchen Mist zu glauben - beschaeftige DIch mal mit dem
System - was geht, und was nicht geht!

Grundlagen:
- Vieles kann nur als root geaendert werden
- Was keine root-Rechte hat, kann vieles einfach nicht
- Schau dir mal die Aenderungsdaten an - ist sehr interessant :-))
(Evtl. mal ein find laufen lassen, dass bei /etc /bin /sbin und so nach
aktuellen Aenderungsdaten sucht!)

Wenn irgendwer irgendwas an deinem df/ls/was auch immer aendert, dann ist die
Aenderungszeit betroffen! Trifft aber evtl. nicht bei lokalen Attacken zu!

Und dann noch einen letzten Hinweis. Macht euch nicht zu sehr in Hose.
Fragt evtl. bei ein/zwei Leuten nach, die Ahnung haben, ehe ihr euch an eine so
grosse Liste wendet.

Wenn Ihr keinen wisst, der ahnung hat. Wendet euch erstmal an SuSE - die werden
dann bestimmt auch eine fundierte Warnung an die Liste senden!

Greetings,

Konrad Neitzel


--
Konrad Neitzel               kn3@irz.inf.tu-dresden.de
			     neitzel@sax.sax.de

Das Internet ist in HTML programmiert (unbekannter Autor) 
--
Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com
schicken, mit dem Text: unsubscribe suse-linux