[Postfixbuch-users] mail-relay hacker finden / fangen

Marc Samendinger marc.samendinger at sp-online.de
Di Apr 27 15:44:42 CEST 2004


> -----Original Message-----
> From: postfixbuch-users-bounces at listi.jpberlin.de 
> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On 
> Behalf Of Maag Oskar
> Sent: Tuesday, April 27, 2004 3:17 PM
> 
> 
> Marc Samendinger schrieb:
> ...
> > 
> > Die Frage ist ob das tatsächlich ein beabsichtigter "Angriff" ist.
> > 
> hab doch gesagt: Daraus ergibt sich eindeutig, daß es 
> manuelle Versuche sind.
> das sind unterschiedliche Anzahlen von "AUTH" mit einem 
> allerdings existierenden Emailkonto
> ...

Du hast eben nicht gesagt, weshalb DU davon ausgehst dass es ein
"manueller Angriff" ist. Genau deshalb musste ich nachfragen.

> > 
> > Was heisst am "AUTH scheitert"?
> > 
> hast du keinen (Postfix)-Mailserver? Falls ja, braucht man da 
> kein Passwort?
> Falls Mailserver ohne Passwort, welche Personen und hacker 
> und Würmer können den benutzen?
> ...

Doch ich betreue Mail Server, ja darunter gibt es auch einige
Postfix Mailserver. Nein, nicht auf allen Servern ist STMP Auth
installiert. Benutzt werden kann er von den Personen die im
passenden Netz liegen, dafür gibt es den Parameter $mynetworks.
Jeder Angreifer der nur gut genug sein Handwerk versteht kann
wahrscheinlich über den Mailserver verschicken. Es tut mir leid
wenn ich Dich enttäuschen muss, dass ist aber auch bei deinem 
Mailserver und jedem anderen Mailserver auf der Welt so.
Da Würmer gewöhnlicherweise eine eigene STMP Routine mitbringen
und sich direkt verschicken geb ich dir auf die Würmer Frage
keine Antwort und lass dich selber überlegen.

> > 
> > Es wäre sicherlich interessant was denn tatsächlich von dem
> > "Hacker" versucht wird. Ein tcpdump kann da helfen.
> > Nicht das sich der "Hacker" einfach nur als falsch konfigurierter
> > Mail Client erweist, der aufgrund eines Tippehlers bei dir
> > rauskomt.
> > 
> also ein paar Zeilen aus /var/log/mail:
> Apr 2x hh.m0:13 postfix postfix/smtpd[25652]: connect from 
> unknown[a.b.c.d]
> Apr 2x hh.m0:23 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m0:26 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m0:33 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m0:37 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m0:46 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m1:10 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m1:57 postfix postfix/smtpd[25652]: warning: 
> unknown[a.b.c.d]: SASL LOGIN authentication failed
> Apr 2x hh.m2:20 postfix postfix/smtpd[25652]: lost connection 
> after AUTH from unknown[a.b.c.d]
> Apr 2x hh.m2:20 postfix postfix/smtpd[25652]: disconnect from 
> unknown[a.b.c.d]
> und die Anzahl der LOGIN's variiert. Und natürlich macht er 
> seine "Tippfehler" beim Passwort!
> ...

Jetzt kommst Du mal langsam mit Fakten.
Wir wissen aber immer noch nicht ob ständig das gleiche Passwort
übergeben wird oder welche Passwörter durchprobiert werden. Dabei
gehts mir zum Beispiel um eine dictionary oder brute force Attacke
was für Passwörter im Endeffekt wirklich durchprobiert wurden
interessiert micht nicht.
Keine Angst ich will dich nicht ausspionieren.

> > 
> > Gib mal ein bisschen mehr Infos was denn nun wirklich passiert.
> > 
> > marc
> siehe oben: Was für Infos brauchst du noch?
> 
> Ralf Kayser schrieb:
> ...
>  >
>  > Willkommen im Club ;(
>  >
> Danke. Hab das Wort "Postfix" das erste mal im Februar 
> gelesen, und dann hat man das "grüne Postfix Buch" und danach 
> das "graue 
> Postfix-Buch" gekauft. Und ich habs gern gelesen.
> ...
>  >>Interessiert das Thema noch jemand?
>  >
>  >
>  > Ja.
> Erfreulich. Ich dachte, es gibt evtl. erprobte Strategien, da 
> das Problem doch nur für mich neu ist. Details müßten wir ja nicht 
> in der Liste diskutieren. Oder doch? Als HOWTO für Hacker?

HOWTO für Hacker? Wenn du dein Problem schilderst?
Ich wollte vorerst eben ausschliessen, dass der Versuch nicht
einfach von einem misskonfigurierten Client kommt. Alles schon
passiert, nicht nur im Bezug auf Mail.

> Und Zeit haben wir (alle) keine, außer dem hacker. Aber 
> Sicherheit wär wichtig, und auch, daß nicht Hinz und Kunz meint, "im 
> Kindernet passiert mir nix". (TENET = bayrisch: SO NET)

Wenn Du die IP Adressen hast, dann wäre doch z.B. mal eine whois
Abfrage bei RIPE angebracht. Nicht umsonst sind in den whois
Datenbanken E-Mail Adressen hinterlegt, die man im Falle eines
Missbrauchs kontaktieren kann.
Erwarte jedoch nicht zuviel, nicht jeder Provider ist sehr
hilfsbereit. 


> Schaumermal
> 
> Oskar

marc - der nicht versteht warum du so pampig geworden bist



Mehr Informationen über die Mailingliste Postfixbuch-users