home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / span04.txt < prev    next >
Text File  |  1995-01-03  |  5KB  |  110 lines

  1. NETWORK SECURITY SUPPLEMENTAL INFORMATION - PROTECTING THE DECNET ACCOUNT
  2.  
  3. The most important thing that needs to be done to protect a system 
  4. against the current WORM attacks is to modify accounts where
  5. USERNAME=PASSWORD.  This is the default configuration for the DECNET
  6. account.  This can be changed easily, but there appears to be some
  7. confusion about the effect that this has on a network. Changing the
  8. DECnet default password DOES NOT IMPACT the normal operation of DECnet
  9. in any way. 
  10.                             --------
  11.  
  12. The following section provides some background material to illustrate
  13. this point: 
  14.  
  15. On your system, issue the following commands from a priviliged
  16. (CMKRNL,BYPASS,SYSPRV) account:
  17.  
  18.         $MCR NCP (or $RUN SYS$SYSTEM:NCP)
  19.         NCP> show executor characteristics
  20.  
  21. This will produce a list that resembles the following:
  22.  
  23.  
  24.         Node Volatile Characteristics as of 31-OCT-1989 11:02:23
  25.          
  26.         Executor node = 6.133 (NSSDCA)
  27.  
  28.         Identification           = DECnet-VAX V4.7,  VMS V4.7
  29.         .
  30.         .
  31.         .
  32.         Nonprivileged user id    = DECNET
  33.         Nonprivileged password   = DECNET
  34.         .
  35.         .
  36.         .
  37.  
  38. This is your DECnet executor database.  The information listed is the
  39. default configuration for your node.  The information contained in this
  40. list includes "Nonprivileged user id" and "Nonpriviliged Password". 
  41.  
  42. This information is what DECnet uses for userid/password when the 
  43. connecting process a)does not have a proxy, b)does not specify a
  44. username/password as part of the access string, and c)does not
  45. have a different userid/password defined for the network object
  46. being invoked.
  47.  
  48. The access information contained in the executor database is used for
  49. reference only. The candidate userid and password (in this case DECNET
  50. and DECNET respectively) are then passed to LOGINOUT to validate them
  51. against the *REAL* information contained in SYSUAF.DAT.  If the
  52. information matches, the access is allowed. If the information does not
  53. match, the connecting user gets the following error messages: 
  54.  
  55.          Unable to connect to listner
  56.          Login Information Invalid at Remote Node
  57.  
  58.                           --------
  59.  
  60. In order to correctly change your default network password so that your
  61. system cannot be easily exploited by the current DECnet WORM, the
  62. following 2 steps must be followed: 
  63.  
  64. 1)  Change the password for user DECNET in SYSUAF.DAT:
  65.  
  66.         UAF> modify DECNET/Password=NEW_DECNET_PASSWORD
  67.  
  68.                                *NOTE*
  69.            It is advisable at this time to check that
  70.            certain other attributes of the DECNET user
  71.            are properly set:
  72.  
  73.            The ONLY access method for this account should 
  74.            be NETWORK. The BATCH, REMOTE, INTERACTIVE, 
  75.            and DIALUP fields should all read "--no access--"
  76.  
  77.            The value of PRCLM should be set to ZERO. This is
  78.            the number of (SPAWNed) sub-processes allowed.
  79.  
  80.            The flag LOCKPWD should be set. This prevents
  81.            anyone but a priviliged user from changing the 
  82.            password. The following command can be used:
  83.  
  84.       UAF> MOD DECNET/FLAGS=LOCKPWD/PRCLM=0/NOBATCH/NODIAL/NOINTER/NOREM/NETW
  85.  
  86.  
  87. 2) Change the password for DECNET in your network executor database:
  88.  
  89.         NCP> set exec nonpriviliged password NEW_DECNET_PASSWORD
  90.         NCP> define exec nonpriviliged password NEW_DECNET_PASSWORD
  91.  
  92. The important thing to remember is that the password must be changed in
  93. BOTH places, otherwise your network WILL break.  The worm is breaking
  94. nodes by penetrating the DECNET account, and changing only the UAF
  95. password with the $SET PASSWORD command.  By not changing the NCP
  96. password, the network no longer accepts INBOUND connections. 
  97.  
  98. For more information, consult the VAX/VMS manuals:
  99.  
  100.    VMS V4.X - Volume 6 "Networking Manual"
  101.    VMS V5.x - Volume 5A&5B "Guide to DECnet-VAX Networking"
  102. ---------------------------------------------------------------------------
  103. Ron Tencati                           |   NCF::TENCATI /6277::TENCATI
  104. SPAN Security Manager                 |   Tencati@Nssdca.gsfc.nasa.gov
  105. NASA/Goddard Space Flight Center      |   (301)286-5223
  106. Greenbelt, MD. USA                    |
  107. ---------------------------------------------------------------------------
  108. 
  109. Downloaded From P-80 International Information Systems 304-744-2253
  110.