Schutz gegen IP-Fälscher möglich?
Hallo zusammen,
wir betreiben einen WEB-Server unter SuSE 7.0. Gestern und heute
gingen bei mir Beschwerden über SPAM-Mail ein. Den mitgesandten
Header habe ich unten ungekürzt reingepappt. Fakt ist, dass diese
Mail lt. Sendmail-LOG definitiv NICHT über unser System versandt
wurde.
Ich habe schon mal was davon gehört, dass man IP's fälschen kann,
weiß allerdings nicht wie das abläuft.
Interessieren würde mich brennend, ob, und vor allem wie ich mich
vor solchem Missbrauch unserer IP schützen kann.
Freue mich über jede Info!
Bye,
Rolf
--Header--
Offending message:
Return-Path:
Hi all
wir betreiben einen WEB-Server unter SuSE 7.0. Gestern und heute gingen bei mir Beschwerden über SPAM-Mail ein. Den mitgesandten Header habe ich unten ungekürzt reingepappt. Fakt ist, dass diese Mail lt. Sendmail-LOG definitiv NICHT über unser System versandt wurde. Bist Du sicher? Hast Du relay usw. bei Dir abgeschaltet? Ist Dein Sendmail-Port offen nach aussen oder ist er abgesichert? Wenn ja, in wieweit abgesichert? (Benutzt Du AdressCheck/AuthSend etc?) Spamer nutzen häufig offene Relays im Internet.... Siehe dazu auch
http://www.sendmail.org/antispam.html
Ich habe schon mal was davon gehört, dass man IP's fälschen kann, weiß allerdings nicht wie das abläuft. Hmmmm. Das hab ich noch nie gehört :(
Interessieren würde mich brennend, ob, und vor allem wie ich mich vor solchem Missbrauch unserer IP schützen kann.
Me too. Gruss Ralf
Am Wed, 30 Jan 2002 10:33:37 +0100 schrieb "ralf"
Hi all
wir betreiben einen WEB-Server unter SuSE 7.0. Gestern und heute gingen bei mir Beschwerden über SPAM-Mail ein. Den mitgesandten Header habe ich unten ungekürzt reingepappt. Fakt ist, dass diese Mail lt. Sendmail-LOG definitiv NICHT über unser System versandt wurde. Bist Du sicher? Hast Du relay usw. bei Dir abgeschaltet? Ist Dein Sendmail-Port offen nach aussen oder ist er abgesichert? Wenn ja, in wieweit abgesichert? (Benutzt Du AdressCheck/AuthSend etc?) Spamer nutzen häufig offene Relays im Internet.... Siehe dazu auch
http://www.sendmail.org/antispam.html
Ich habe schon mal was davon gehört, dass man IP's fälschen kann, weiß allerdings nicht wie das abläuft. Hmmmm. Das hab ich noch nie gehört :(
Doch, geht wohl. Es gibt Tools die fälschen die Pakete nach "Bedarf".
Interessieren würde mich brennend, ob, und vor allem wie ich mich vor solchem Missbrauch unserer IP schützen kann.
Me too.
Als Opfer kannst Du leider nix machen, da ja Deine Infrastruktur nicht benutzt wird. Selbst den Stecker ziehen hilft nicht ... :-(( Trotzdem musst Du, und das hast Du bestimmt, alles unternehmen, damit Dein Server nicht als relay benutzt wird ... ;-)
Gruss Ralf
Hi, Arne-Erik Martin wrote:
Am Wed, 30 Jan 2002 10:33:37 +0100 schrieb "ralf"
:
Ich habe schon mal was davon gehört, dass man IP's fälschen kann, weiß allerdings nicht wie das abläuft.
Hmmmm. Das hab ich noch nie gehört :(
Doch, geht wohl. Es gibt Tools die fälschen die Pakete nach "Bedarf".
Hmm das ist nicht ganz so einfach - bei lokalen Netzen kann man mittels eines einfachen ARP (Address Resolution Protocol) Spoofings eine IP faelschen. Das ARP loest auf TCP/IP OSI Ebene 3 IP zu MAC Adressen auf. Da die Messages gecached werden, kann man natuerlich auch einfach laufend "vergiftete" Packete versenden, die dann von den clients aufgenommen werden. ("Man in the middle" laesst sich so auf einfachem Wege umsetzen.) Problematisch wird es wenn man Ebene 3 Switches oder Router (Internet) betreibt. Diese muessen ja mittbekommen das sich der Spoofende Rechner noch eine weitere IP "zugelegt hat", um entprechende Packte an diesen weiterzuleiten. (Ebene 3 arbeitet rein auf IP basis) Dazu gibt es IMHO 2 Dinge die Helfen: * SNMP (Simple Network Management Protokoll) ueber das sich router und switches konfigurieren lassen (Viele sehen ein passwort vor - es soll aber wohl so sein das sich die viele Admins nicht darum kuemmern das default passwort zu aendern. Default passwoerter fuer Cisco und Konsorten gibts im I-Net zu hauf...). Ziel ist es hierbei allen noetigen Routern vorzugaukeln, dass der zu spoofende Host nicht mehr an der urspruenglichen Stelle steht. * Selbst lernende Router stellen eine weitere grosse Gefahr da. Da es kaum moeglich ist ueberall im Netz die Routen zu administrieren haben router "selbstlern" Funktionalitaeten. Die unteranderem auf das SNMP aufsetzen. naja - getestet hab ich dieses ganze Zeug noch nicht, in einer versuchsumgebung waehre es superinteressant, aber leider - wie so oft - keine Zeit. Schaut man aber in die RFC's der entsprechenden Protokolle, oder mit einem Packetsniffer (Ethereal) in die entsprechenden Packete dann entpuppen diese sich als supereinfach (_SIMPLE_) fuer viele Router/Switches gibt es ausserdem Konfigurations Software, die ueber SNMP arbeitet. Ist auf dem Switch/Router das defaultpasswort gesetzt sollten betreffende Einstellungen kein Problem mehr sein. sooo - ich hoffe, dass : 1. ich habe hier keinen technischen fehler gemacht ;-) - wenn ja sind Diskussionen darum erwuenscht... 2. das sich hier keiner angehalten fuehlt den ganzen Scheiss mal "live" im Internet auszuprobieren. Das internet haelt IMHO nur zusammen weil keiner daran - wirklich - herumspielt. Sollte mal wirklich einer auf die Idee kommen um sich zu schlagen, wird es nicht lange dauern und alles ist im A**** Unsicher implementierte Protokolle und Trottel gibt es genug. mfg Thomas -- Thomas Schmidt || t.schmidt@sh-home.de http://www.md-network.de/ || registered LINUX user No.: 171016 ======================================================================= -----BEGIN GEEK CODE BLOCK----- Version: 3.1 GCS/U d-(?) s:@ a-- C++ UL++>(++++)>$ P++(++++)>$ L++>(++++) E W- N++ o K- w O M- V- PS+ PE++ Y+ PGP t 5 X+ R tv++ b++ DI-- D+ G++ e* h* r-- y? ------END GEEK CODE BLOCK------
Moin,
* Rolf Scheurer
Ich habe schon mal was davon gehört, dass man IP's fälschen kann, weiß allerdings nicht wie das abläuft.
Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by rly-xc04.mx.aol.com (v83.35) with ESMTP id MAILRELAYINXC410-0129180059; Tue, 29 Jan 2002 18:00:59 -0500
Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus, aber ich lass mich gerne belehren. Die Profis, die Dir _garantiert_ sagen koennen, wo es hakt, findest Du in de.admin.net-abuse.mail . Gruss, Andreas -- Last Exit autoexec.bac: echo y | format c:
Hallo, at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:
* Rolf Scheurer
[30/01/02 09:33]: Ich habe schon mal was davon gehört, dass man IP's fälschen kann,
Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by
Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,
Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11 Ich hatte mein Postfix mal so eingestellt, das er den angegebenen Hostname beim HELO mit der IP des Servers verglichen hat. Sollte diese nicht überstimmen, dann hat er dicht gemacht. Das ist zwar eine nette Funktion, sperrt aber teilweise auch seriöse Mailserver aus, da diese nicht richtig konfiguriert sind. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Am Mit, 30 Jan 2002 schrieb Michael Raab:
Hallo,
at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:
* Rolf Scheurer
[30/01/02 09:33]: Ich habe schon mal was davon gehört, dass man IP's fälschen kann,
Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by
Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,
Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11
Will nicht bestreiten, daß der nicht echt ist. Aber das ein nslookup für yahoo.co.uk eine andere IP ausgibt ist IMHO noch kein sicherer Anhaltspunkt dafür, da im Rahmen eines Load Balancing durchaus Aliase für Hosts definiert sein könnten. Allerdings ist das in diesem Fall wohl nicht so, wie ein http://217.5.180.50 zeigt. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Am Mit, 30 Jan 2002 schrieb Christoph Maurer:
Am Mit, 30 Jan 2002 schrieb Michael Raab:
Hallo,
at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:
* Rolf Scheurer
[30/01/02 09:33]: Ich habe schon mal was davon gehört, dass man IP's fälschen kann,
Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by
Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,
Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11
Will nicht bestreiten, daß der nicht echt ist. Aber das ein nslookup für yahoo.co.uk eine andere IP ausgibt ist IMHO noch kein sicherer Anhaltspunkt dafür, da im Rahmen eines Load Balancing durchaus Aliase für Hosts definiert sein könnten.
Allerdings ist das in diesem Fall wohl nicht so, wie ein http://217.5.180.50 zeigt.
Hoppla, da habe ich mich jetzt vertan, 217.5.180.50 ist ja der empfangende Host. Sorry. Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Moin Moin,
* Michael Raab
at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:
* Rolf Scheurer
[30/01/02 09:33]: Ich habe schon mal was davon gehört, dass man IP's fälschen kann,
Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by
Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,
Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11
Nee, ich meinte die _IP_ [217.5.180.50] sieht fuer mich 100% echt aus, nicht die Uebereistimmung von yahoo.co.uk = 217.5.180.50. :-) Gruss, Andreas -- Und am achten Tage gab er dem Menschen das score-file
Hallo, at Wed, 30 Jan 2002 11:42:20 +0100 Andreas Kneib wrote:
Nee, ich meinte die _IP_ [217.5.180.50] sieht fuer mich 100% echt aus, nicht die Uebereistimmung von yahoo.co.uk = 217.5.180.50. :-)
Die ist echt bzw. stimmt die mit dem Hostnamen überein. Ein nslookup bringt dort ein Haufen Hostnamen zu Tage. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Moin,
* Michael Raab
Hallo,
at Wed, 30 Jan 2002 11:42:20 +0100 Andreas Kneib wrote:
Nee, ich meinte die _IP_ [217.5.180.50] sieht fuer mich 100% echt aus, nicht die Uebereistimmung von yahoo.co.uk = 217.5.180.50. :-)
Die ist echt bzw. stimmt die mit dem Hostnamen überein. Ein nslookup bringt dort ein Haufen Hostnamen zu Tage.
Wie jetzt? Die IP 217.5.180.50 stimmt mit dem Hostnamen yahoo.co.uk ueberein? Also ein "whois 217.5.180.50", und ein "links http://217.5.180.50" sagen mir da etwas anders. Nimm mir doch bitte mal das Brett vom Kopf. :-) Gruss, Andreas -- " Schlechte Zeugen sind Augen und Ohren fuer Menschen, wenn sie Barbarenseelen haben " [Heraklit]
Hallo, at Wed, 30 Jan 2002 12:20:29 +0100 Andreas Kneib wrote:
* Michael Raab
[30/01/02 11:59]: Die ist echt bzw. stimmt die mit dem Hostnamen überein. Ein nslookup bringt dort ein Haufen Hostnamen zu Tage.
Wie jetzt? Die IP 217.5.180.50 stimmt mit dem Hostnamen yahoo.co.uk ueberein?
Nein. Auf diese IP sind 27 Hostnames drauf, wenn ich mich nicht verzählt habe. Anscheind alles Mailserver.
Also ein "whois 217.5.180.50", und ein "links http://217.5.180.50" sagen mir da etwas anders.
Bei mir auch. yahoo.co.uk wird von ping in www2.vip.lng.yahoo.com aufgelöst und hat die IP 217.12.3.11.
Nimm mir doch bitte mal das Brett vom Kopf.
Sorry, hab ich mich wohl einwenig verwirrend ausgedrückt. ;-) Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++
Hi, wenn ich das richtig lese, ist Deine IP "217.5.180.50". In diesem Falle sage dem Sender der Spambeschwerde, er möge seine Logs durchsuchen, dort sollten die korrekten Verbindungsdaten stehen. Sollte tatsächlich jemand Deine IP "gefälscht" haben, kannst Du auch nicht viel dagegen tun. Tom
Hallo,
"Rolf Scheurer"
Hallo zusammen,
[...]
Interessieren würde mich brennend, ob, und vor allem wie ich mich vor solchem Missbrauch unserer IP schützen kann.
--Header-- Offending message: Return-Path:
Received: from rly-xc04.mx.aol.com (rly-xc04.mail.aol.com [172.20.105.137]) by air-xc03.mail.aol.com (v82.22) with ESMTP id MAILINXC39-0129180138; Tue, 29 Jan 2002 18:01:38 -0500 Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by
Wer ist mail.werksarzt.net und wem gehört die Adresse 217.5.180.50
rly-xc04.mx.aol.com (v83.35) with ESMTP id MAILRELAYINXC410-0129180059; Tue, 29 Jan 2002 18:00:59 -0500 Reply-To:
Message-ID: <008e02d15aab$5868a4d3$2be67cb2@btxsuj> From:
Im Header fehlen leider die wichtigsten Angaben, entweder unterdrückt, oder von dir nicht übermittelt ? Damit meine ich insbesondere weitere 'received' Angaben, neben den von aol.com. So hat es den Anschein, als ob der Urheber der Mail rly-xc04.mx.aol.com sei. Die Hostbezeichnung der Message-ID ist schon seltsam, oder habt ihr solche Hostbezeichnungen ? Unterbinden kann man das, indem sendmail-tls eingesetzt wird und nur über Authentifizierung ein relay erlaubt wird. Adressen ändern kann man ganz einfach mit 'ifconfig'. Bei einigen Karten (z.B. 3com503) läß0t sich sogar die MAC Adresse manipulieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo Dieter,
From: "Dieter Kluenter"
To: Sent: Wednesday, January 30, 2002 2:30 PM Subject: Re: Schutz gegen IP-Fälscher möglich? [...] Interessieren würde mich brennend, ob, und vor allem wie ich mich vor solchem Missbrauch unserer IP schützen kann.
--Header-- Offending message: Return-Path:
Received: from rly-xc04.mx.aol.com (rly-xc04.mail.aol.com [172.20.105.137]) by air-xc03.mail.aol.com (v82.22) with ESMTP id MAILINXC39-0129180138; Tue, 29 Jan 2002 18:01:38 -0500 Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by Wer ist mail.werksarzt.net und wem gehört die Adresse 217.5.180.50
Die Domain werksarzt.net gehört einem Kunden und wird von diesem System gehostet. Auf mail.werksarzt.net steht der MX-Eintrag. Die IP 217.5.180.50 ist unsere.
rly-xc04.mx.aol.com (v83.35) with ESMTP id MAILRELAYINXC410-0129180059;
Tue,
29 Jan 2002 18:00:59 -0500 Reply-To:
Message-ID: <008e02d15aab$5868a4d3$2be67cb2@btxsuj> From: Im Header fehlen leider die wichtigsten Angaben, entweder unterdrückt, oder von dir nicht übermittelt ?
Ich habe den Header, vollständig in der Form übermittelt, wie er mir mit der Beschwerde zugestellt wurde.
Damit meine ich insbesondere weitere 'received' Angaben, neben den von aol.com. So hat es den Anschein, als ob der Urheber der Mail rly-xc04.mx.aol.com sei.
So habe ich das auch verstanden. Dann gäbe es aber keinen Grund sich bei mir zu beschweren ;-)
Die Hostbezeichnung der Message-ID ist schon seltsam, oder habt ihr solche Hostbezeichnungen ?
Nein, die sieht irgendwie schon komisch aus.
Unterbinden kann man das, indem sendmail-tls eingesetzt wird und nur über Authentifizierung ein relay erlaubt wird.
Kannst Du mir dazu mehr verraten, bzw. mir mitteilen, wo ich Info's dazu finde? Wir verwenden POP before SMTP, bis heute dachte ich, dass das Thema SPAM damit erledigt ist. Danke, Rolf
Hallo Rolf,
"Rolf Scheurer"
Hallo Dieter,
From: "Dieter Kluenter"
To: Sent: Wednesday, January 30, 2002 2:30 PM Subject: Re: Schutz gegen IP-Fälscher möglich? [...] [...] Unterbinden kann man das, indem sendmail-tls eingesetzt wird und nur über Authentifizierung ein relay erlaubt wird. Kannst Du mir dazu mehr verraten, bzw. mir mitteilen, wo ich Info's dazu finde? Wir verwenden POP before SMTP, bis heute dachte ich, dass das Thema SPAM damit erledigt ist.
Mit sendmail-tls kann eine verschlüsselte Passwortabfrage vorgenommen werden . Du benötigst - sendmail-tls aus der Serie sec - cyrus-sasl aus der Serie sec - BerkleyDB file:/usr/share/doc/packages/sendmail/op.* http://www.sendmail.org/~ca/email/auth.html http://www.sendmail.org/~ca/email/other/cagreg.html http://www.sendmail.org/~ca/email/cyrus/sysadmin.html http://www.ledge.co.za/scripts.phtml?page=smtpauth SuSE hat, glaube ich, zu diesem Thema auch ein Papier produziert, davon habe ich aber keine URL. Google liefert bestimmt noch mehr Fundstellen bei den Stichworten sendmail + sasl + tls. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo zusammen,
eben trudelt von einem Provider in den USA eine SPAM-Beschwerde hier ein
:-((
Mir scheint, die Sache ist hier anders gelagert, das Subject habe ich aber
mal
gelassen.
Man beachte besonders die 4. Zeile des Headers! Dort steht:
"Received: from qwest.net (squid@mail.a-online.org [217.5.180.50])"
Zum Einen sei gesagt, dass die Domain a-online.org seit dem 16.10.01 nicht
mehr auf dem System läuft, eine Tatsache, die dem Spammer vermutlich nicht
bekannt ist. Die angegebene IP ist die unsere.
Wie habe ich "squid@mail.a-online.org" zu verstehen?? Gibt es bei
Squid ein Sicherheitsloch? Hier läuft "squid2-2.2.STABLE5"
Anders als in dem zuerst geschilderten Fall, steht jetzt was im Server-Log:
(die Zeilen-Überlänge bitte entschuldigen)
-----Mail-LOG----
Jan 30 12:58:48 mail sendmail[30411]: g0UBwKi30411:
from=
From AmericaLenders733654@qwest.net Wed Jan 30 07:53:01 2002
Return-Path:
Hallo Rolf, Am Mit, 2002-01-30 um 18.58 schrieb Rolf Scheurer:
Hallo zusammen,
eben trudelt von einem Provider in den USA eine SPAM-Beschwerde hier ein :-((
zum Thema Squid können sich andere äußern :-(
Anders als in dem zuerst geschilderten Fall, steht jetzt was im Server-Log: (die Zeilen-Überlänge bitte entschuldigen) -----Mail-LOG---- Jan 30 12:58:48 mail sendmail[30411]: g0UBwKi30411: from=
, size=18465, class=0, nrcpts=1, msgid=<005e57c17cdd$8446c3b6$6ab61aa0@nxebjg>, bodytype=8BITMIME, proto=SMTP, daemon=MTA, relay=localhost [127.0.0.1] Jan 30 12:58:50 mail sendmail[30435]: g0UBwKi30411: SYSERR(root): dontsendmailto.abanks.com. config error: mail loops back to me (MX problem?)
AmericanLenders@qwest.net wird als Relay-User akzeptiert. Sendmail stellt aber fest, dass der MX Record für qwest.net auf die lokale Domain zeigt. Prüfe mal sendmail und vor allen Dingen die named Dateien. [böse Logfiles]
----- Ende Mail-LOG---- Viel später das hier: Jan 30 15:17:28 mail sendmail[6856]: g0UEHNq06856: from=
, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=[127.0.0.100] In der ersten Zeile steht "relay=localhost [127.0.0.1]" Ist das so zu verstehen, dass jemand einen "localhost" vorgaukelt? Damit könnte er POP before SMTP umschiffen.
Nein, nicht vorgaukelt, sondern lokal anden smtpd zum relay übergibt, quasi von einer Domain zur anderen. Sieh dir dringend alle sendmail Konfigurationsdateien an, ob Auffälliges zu entdecken ist. Da hat euch einer ein Kuckuksei ins Nest gelegt.
Kann mir jemand helfen, das alles zu verstehen und womöglich abzustellen?
Ich rate dringend dazu, das gesamte System zu untersuchen, sonst seit ihr in Nullkommanichts auf der Blacklist, das bedeutet, eure Mail und die Mail aller eurer Mailclients wird von keinem Mailserver akzeptiert. Verstehen ist ganz simpel. Ihr seit vermutlich offen wie ein Scheunentor für Relay Kunden, jemand hat eine Backdoor installiert und nutzt euch für die nächsten Tage. So hart es ist, Rechner vom Netz und untersuchen. Frohes Schaffen heute Nacht. ;-( -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo Dieter,
From: "Dieter Kluenter"
Sieh dir dringend alle sendmail Konfigurationsdateien an, ob Auffälliges zu entdecken ist. Da hat euch einer ein Kuckuksei ins Nest gelegt.
Ich rate dringend dazu, das gesamte System zu untersuchen, sonst seit ihr in Nullkommanichts auf der Blacklist, das bedeutet, eure Mail und die Mail aller eurer Mailclients wird von keinem Mailserver akzeptiert.
Verstehen ist ganz simpel. Ihr seit vermutlich offen wie ein Scheunentor für Relay Kunden, jemand hat eine Backdoor installiert und nutzt euch für die nächsten Tage.
Ich habe Deinen Rat befolgt und sendmail.cf und alles in /etc/mail durchwühlt. Ich denke, da ist alles paletti. Von "Scheunentor" kann keine Rede sein. Ich habe den Tip von Bernd Schmelter befolgt (Relay-Test bei mail-abuse.org), ich habe es mit einer Wählverbindung selbst versucht und bin am popB4smtp gescheitert. Die Türe ist zu, ohne POP-Login geht nix. Ein paar Minuten vor Deinem Posting habe ich selbst neue Erkenntnisse gepostet. Bis heute wusste ich im übrigen nicht, dass über den SQUID-Proxy relaying möglich ist. Auf der Seite www.squid-cache.org/Doc/FAQ/FAQ-25.html wird vor dieser Möglichkeit ausdrücklich gewarnt. Das hätte ich besser mal früher gelesen ;-) Der Proxy-Scan bei cyberabuse.org war nach der SQUID- Umkonfiguration auch positiv. Ich habe die alte squid.conf mal gesichert und werde den Scan ggf. damit nochmal wiederholen. Meine Nachlässigkeit bei der Konfiguration (oder auch Fahrlässigkeit) habe ich mit einem Abend ohne Familie bezahlt :-( Da ich noch immer ein komisches Gefühl im Bauch habe, wird SQUID heute Nacht gestoppt. Morgen werde ich ein Auge auf dem Mail-Log, das andere auf der Kaffeetasse haben ;-)) Dir schon mal vielen Dank für die Gedanken, die Du Dir gemacht hast - natürlich auch an alle anderen die geantwortet haben. Bye, Rolf
On Wed, Jan 30, 2002 at 09:32:13PM +0100, Rolf Scheurer wrote:
Hallo Dieter,
From: "Dieter Kluenter"
To: Sieh dir dringend alle sendmail Konfigurationsdateien an, ob Auffälliges zu entdecken ist. Da hat euch einer ein Kuckuksei ins Nest gelegt.
Ich rate dringend dazu, das gesamte System zu untersuchen, sonst seit ihr in Nullkommanichts auf der Blacklist, das bedeutet, eure Mail und die Mail aller eurer Mailclients wird von keinem Mailserver akzeptiert.
Verstehen ist ganz simpel. Ihr seit vermutlich offen wie ein Scheunentor für Relay Kunden, jemand hat eine Backdoor installiert und nutzt euch für die nächsten Tage.
[cut]
Erkenntnisse gepostet. Bis heute wusste ich im übrigen nicht, dass über den SQUID-Proxy relaying möglich ist. Auf der Seite www.squid-cache.org/Doc/FAQ/FAQ-25.html wird vor dieser Möglichkeit ausdrücklich gewarnt. Das hätte ich besser mal früher gelesen ;-)
Der Proxy-Scan bei cyberabuse.org war nach der SQUID- Umkonfiguration auch positiv. Ich habe die alte squid.conf mal gesichert und werde den Scan ggf. damit nochmal wiederholen.
Ich habe den Begriff offene Proxys im Zusammenhang mit Spam kürzlich mal in de.admin.net-abuse.mail gehört. Konnte damit aber nix anfangen, da das Thema Proxys hier noch nicht abgearbeitet ist. In sofern war Dein Leid für mich ein schönes Lehrbeispiel ;-) Deine Problemlösung ist hier jetzt im Archiv :-)))
Meine Nachlässigkeit bei der Konfiguration (oder auch Fahrlässigkeit)
"Ihr" habts immer so eilig ;-)))
habe ich mit einem Abend ohne Familie bezahlt :-(
Da ich noch immer ein komisches Gefühl im Bauch habe, wird SQUID heute Nacht gestoppt. Morgen werde ich ein Auge auf dem Mail-Log, das andere auf der Kaffeetasse haben ;-))
..das wirds gewesen sein. Um sicher zu gehen, könntest Du ja in der oben genannten newsgroup nachfragen.
Dir schon mal vielen Dank für die Gedanken, die Du Dir gemacht hast - natürlich auch an alle anderen die geantwortet haben.
...da ist gerade jemandem ein Stein vom Herzen gefallen ? :-))))
Bye, Rolf
MfG Benn -- #250319 - http://counter.li.org
Hallo Zusammen,
From: "Rolf Scheurer"
Man beachte besonders die 4. Zeile des Headers! Dort steht: "Received: from qwest.net (squid@mail.a-online.org [217.5.180.50])"
Ich denke, ich habe die Sache mit der zweiten Attacke im Griff. Ich habe bei der SQUID-Konfiguration einen gewaltigen Bock geschossen. Das ist schon lange her, damals ging es mir nur darum, dass ich surfen kann (Flatrate gekündigt, dann Interconnect). Die Jung's aus Los Angeles, wo die SPAM-Beschwerde herkam, waren total nett und haben mir sogar erste Tips gegeben. Dass der Hund bei SQUID begraben ist, deutete der übermittelte Header aber ja bereits an. Mein Fehler war, dass: acl all src 0.0.0.0/0.0.0.0 und http_access allow all http_access allow !Safe_ports (mein Gott, war ich blöd...) konfiguriert war. Das sieht jetzt so aus: acl all src 0.0.0.0/0.0.0.0 acl ourhosts src 192.168.115.1-192.168.115.250/255.255.255.0 http_access allow ourhosts http_access deny all http_access deny !Safe_ports Damit dürfte ein Zugriff von außen auf SQUID Geschichte sein. Anschließend habe ich mit dem Proxyscanner unter cyberabuse.org die Kiste gescannt. Ergebnis: Keine Beanstandung :-)) Hat noch jemand eine Idee, worauf ich achten sollte? Bye, Rolf
Hallo Rolf,
From the keyboard of Rolf, Ich denke, ich habe die Sache mit der zweiten Attacke im Griff. Ich habe bei der SQUID-Konfiguration einen gewaltigen Bock geschossen. Das ist schon lange her, damals ging es mir nur darum, dass ich surfen kann (Flatrate gekündigt, dann Interconnect).
Die Jung's aus Los Angeles, wo die SPAM-Beschwerde herkam, waren total nett und haben mir sogar erste Tips gegeben. Dass der Hund bei SQUID begraben ist, deutete der übermittelte Header aber ja bereits an.
Mein Fehler war, dass: acl all src 0.0.0.0/0.0.0.0 und http_access allow all http_access allow !Safe_ports (mein Gott, war ich blöd...)
konfiguriert war.
Das sieht jetzt so aus: acl all src 0.0.0.0/0.0.0.0 acl ourhosts src 192.168.115.1-192.168.115.250/255.255.255.0 http_access allow ourhosts http_access deny all http_access deny !Safe_ports
Damit dürfte ein Zugriff von außen auf SQUID Geschichte sein.
Anschließend habe ich mit dem Proxyscanner unter cyberabuse.org die Kiste gescannt. Ergebnis: Keine Beanstandung :-))
Hat noch jemand eine Idee, worauf ich achten sollte?
Bei Diensten die nur am internen Interface genutzt werden ist es auch sehr sinnvoll zusätzlich den Dämon nur am inneren Interface lauschen zu lassen. Dadurch verhinderst du zusätzlich Versuche von außen deinen Squid zu kompromittieren (falls mal wieder ein root exploit bekannt wird) http_port 192.168.0.1:3128 icp_port 0 Die zweite Anweisung dient dazu ICP zu deaktivieren. Dies ist sinnvoll, wenn du keine kaskadierten Proxy's einsetzt die untereinander über ICP kommunizieren. Nur so als Anmerkung, deine Kiste lädt aber auch förmlich ein zu einem Angriff. Du solltest deine Security Policy nochmal sehr überdenken. (scanne deine IP mal von außen) Als Beispiel, jedesmal wenn du dich per Webmin an deinen Server anmeldest wird dein Passwort im Klartext über das Netzwerk übertragen. Ich persönlich möchte mir jetzt nicht ausmalen, was ein Angreifer in deinem Webmin alles konfigurieren/einschleusen könnte. Eine andere Möglichkeit wäre Brute Force. gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Hallo Waldemar,
From: "Waldemar Brodkorb"
Hallo Rolf,
From the keyboard of Rolf, Ich denke, ich habe die Sache mit der zweiten Attacke im Griff. Ich habe bei der SQUID-Konfiguration einen gewaltigen Bock geschossen. Das ist schon lange her, damals ging es mir nur darum, dass ich surfen kann (Flatrate gekündigt, dann Interconnect).
Die Jung's aus Los Angeles, wo die SPAM-Beschwerde herkam, waren total nett und haben mir sogar erste Tips gegeben. Dass der Hund bei SQUID begraben ist, deutete der übermittelte Header aber ja bereits an.
Mein Fehler war, dass: acl all src 0.0.0.0/0.0.0.0 und http_access allow all http_access allow !Safe_ports (mein Gott, war ich blöd...)
konfiguriert war.
Das sieht jetzt so aus: acl all src 0.0.0.0/0.0.0.0 acl ourhosts src 192.168.115.1-192.168.115.250/255.255.255.0 http_access allow ourhosts http_access deny all http_access deny !Safe_ports
[...]
Hat noch jemand eine Idee, worauf ich achten sollte?
Bei Diensten die nur am internen Interface genutzt werden ist es auch sehr sinnvoll zusätzlich den Dämon nur am inneren Interface lauschen zu lassen. Dadurch verhinderst du zusätzlich Versuche von außen deinen Squid zu kompromittieren (falls mal wieder ein root exploit bekannt wird)
http_port 192.168.0.1:3128 icp_port 0
Danke für diesen Tip. Ist bereits umgesetzt.
Die zweite Anweisung dient dazu ICP zu deaktivieren. Dies ist sinnvoll, wenn du keine kaskadierten Proxy's einsetzt die untereinander über ICP kommunizieren.
Nur so als Anmerkung, deine Kiste lädt aber auch förmlich ein zu einem Angriff. Du solltest deine Security Policy nochmal sehr überdenken. (scanne deine IP mal von außen)
Als Beispiel, jedesmal wenn du dich per Webmin an deinen Server anmeldest wird dein Passwort im Klartext über das Netzwerk übertragen. Ich persönlich möchte mir jetzt nicht ausmalen, was ein Angreifer in deinem Webmin alles konfigurieren/einschleusen könnte.
Damit hatte ich bisher selber Bauchschmerzen. Ich habe Webmin zwar so konfiguriert, dass nach 3 falschen Anmeldeversuchen von einer IP Ende ist, das hilft mir aber nix, wenn jemand mein Passwort mithört. Deine Mail habe ich deshalb aber zum Anlass genommen, Webmin-Aufrufe nur noch aus dem lokalen Netz zuzulassen. (Hab's von außen probiert, geht nicht mehr)
Eine andere Möglichkeit wäre Brute Force.
Was ist das, bzw. wo steht, was es ist ? Dir schon mal tausend Dank. Ergänzend sei bemerkt, dass ich das Sendmail-Log von heute Nacht durchforstet habe. Es gab 3 Relay-Versuche, die aber "denied" wurden. Irgendwer hat's auf uns abgesehen :-( Gruß, Rolf
On Wed, Jan 30, 2002 at 02:47:19PM +0100, Rolf Scheurer wrote:
Hallo Dieter,
From: "Dieter Kluenter"
[....]
Unterbinden kann man das, indem sendmail-tls eingesetzt wird und nur über Authentifizierung ein relay erlaubt wird.
Kannst Du mir dazu mehr verraten, bzw. mir mitteilen, wo ich Info's dazu finde? Wir verwenden POP before SMTP, bis heute dachte ich, dass das Thema SPAM damit erledigt ist.
Du kannst Dich ja trotzdem mal folgendem Test unterziehen: telnet relay-test.mail-abuse.org
Danke, Rolf
MfG Benn -- #250319 - http://counter.li.org
Hallo Bernd,
From: "Bernd Schmelter"
Du kannst Dich ja trotzdem mal folgendem Test unterziehen:
telnet relay-test.mail-abuse.org
Habe ich aus Verzweiflung mal gemacht. Endergebnis: "System appeared to reject relay attempts" Scheinbar ist die Kiste an der Stelle o.k. Danke für den Tip. Bye, Rolf
participants (12)
-
Andreas Kneib
-
Arne-Erik Martin
-
Bernd Schmelter
-
Christoph Maurer
-
Dieter Kluenter
-
Gerhard Schwan
-
Michael Raab
-
ralf
-
Rolf Scheurer
-
Thomas Michael Wanka
-
Thomas Schmidt
-
Waldemar Brodkorb