Hi, Arne-Erik Martin wrote:

Am Wed, 30 Jan 2002 10:33:37 +0100 schrieb "ralf" :

...

...

Ich habe schon mal was davon gehört, dass man IP's fälschen kann, weiß allerdings nicht wie das abläuft.

Hmmmm. Das hab ich noch nie gehört :(

Doch, geht wohl. Es gibt Tools die fälschen die Pakete nach "Bedarf".

Hmm das ist nicht ganz so einfach - bei lokalen Netzen kann man mittels eines einfachen ARP (Address Resolution Protocol) Spoofings eine IP faelschen. Das ARP loest auf TCP/IP OSI Ebene 3 IP zu MAC Adressen auf. Da die Messages gecached werden, kann man natuerlich auch einfach laufend "vergiftete" Packete versenden, die dann von den clients aufgenommen werden. ("Man in the middle" laesst sich so auf einfachem Wege umsetzen.) Problematisch wird es wenn man Ebene 3 Switches oder Router (Internet) betreibt. Diese muessen ja mittbekommen das sich der Spoofende Rechner noch eine weitere IP "zugelegt hat", um entprechende Packte an diesen weiterzuleiten. (Ebene 3 arbeitet rein auf IP basis) Dazu gibt es IMHO 2 Dinge die Helfen: * SNMP (Simple Network Management Protokoll) ueber das sich router und switches konfigurieren lassen (Viele sehen ein passwort vor - es soll aber wohl so sein das sich die viele Admins nicht darum kuemmern das default passwort zu aendern. Default passwoerter fuer Cisco und Konsorten gibts im I-Net zu hauf...). Ziel ist es hierbei allen noetigen Routern vorzugaukeln, dass der zu spoofende Host nicht mehr an der urspruenglichen Stelle steht. * Selbst lernende Router stellen eine weitere grosse Gefahr da. Da es kaum moeglich ist ueberall im Netz die Routen zu administrieren haben router "selbstlern" Funktionalitaeten. Die unteranderem auf das SNMP aufsetzen. naja - getestet hab ich dieses ganze Zeug noch nicht, in einer versuchsumgebung waehre es superinteressant, aber leider - wie so oft - keine Zeit. Schaut man aber in die RFC's der entsprechenden Protokolle, oder mit einem Packetsniffer (Ethereal) in die entsprechenden Packete dann entpuppen diese sich als supereinfach (_SIMPLE_) fuer viele Router/Switches gibt es ausserdem Konfigurations Software, die ueber SNMP arbeitet. Ist auf dem Switch/Router das defaultpasswort gesetzt sollten betreffende Einstellungen kein Problem mehr sein. sooo - ich hoffe, dass : 1. ich habe hier keinen technischen fehler gemacht ;-) - wenn ja sind Diskussionen darum erwuenscht... 2. das sich hier keiner angehalten fuehlt den ganzen Scheiss mal "live" im Internet auszuprobieren. Das internet haelt IMHO nur zusammen weil keiner daran - wirklich - herumspielt. Sollte mal wirklich einer auf die Idee kommen um sich zu schlagen, wird es nicht lange dauern und alles ist im A**** Unsicher implementierte Protokolle und Trottel gibt es genug. mfg Thomas -- Thomas Schmidt || t.schmidt@sh-home.de http://www.md-network.de/ || registered LINUX user No.: 171016 ======================================================================= -----BEGIN GEEK CODE BLOCK----- Version: 3.1 GCS/U d-(?) s:@ a-- C++ UL++>(++++)>$ P++(++++)>$ L++>(++++) E W- N++ o K- w O M- V- PS+ PE++ Y+ PGP t 5 X+ R tv++ b++ DI-- D+ G++ e* h* r-- y? ------END GEEK CODE BLOCK------

Hallo, at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:

* Rolf Scheurer [30/01/02 09:33]:

...

Ich habe schon mal was davon gehört, dass man IP's fälschen kann,

...

Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by

Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,

Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11 Ich hatte mein Postfix mal so eingestellt, das er den angegebenen Hostname beim HELO mit der IP des Servers verglichen hat. Sollte diese nicht überstimmen, dann hat er dicht gemacht. Das ist zwar eine nette Funktion, sperrt aber teilweise auch seriöse Mailserver aus, da diese nicht richtig konfiguriert sind. Gruß Michael -- Homepage temporarily out of order Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE http://counter.li.org GNU PGP-Key ID 22C51B8D0140F88B ++ Webdesign ++ PHP Development ++

On Wed, 30 Jan 2002, Christoph Maurer wrote:

...

at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:

...

* Rolf Scheurer [30/01/02 09:33]:

...

Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by

was steht denn in /var/log/mail der Maschine 217.5.180.50 ? Gerhard

Moin Moin, * Michael Raab [30/01/02 10:59]:

at Wed, 30 Jan 2002 10:48:42 +0100 Andreas Kneib wrote:

...

* Rolf Scheurer [30/01/02 09:33]:

...

Ich habe schon mal was davon gehört, dass man IP's fälschen kann,

...

Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by

Mmh..., fuer mich als Nicht-Fachmann sieht die Sache 100% echt aus,

Es ist aber nicht echt. Denn yahoo.co.uk hat die IP 217.12.3.11

Nee, ich meinte die _IP_ [217.5.180.50] sieht fuer mich 100% echt aus, nicht die Uebereistimmung von yahoo.co.uk = 217.5.180.50. :-) Gruss, Andreas -- Und am achten Tage gab er dem Menschen das score-file

Moin, * Michael Raab [30/01/02 11:59]:

Hallo,

at Wed, 30 Jan 2002 11:42:20 +0100 Andreas Kneib wrote:

...

Nee, ich meinte die _IP_ [217.5.180.50] sieht fuer mich 100% echt aus, nicht die Uebereistimmung von yahoo.co.uk = 217.5.180.50. :-)

Die ist echt bzw. stimmt die mit dem Hostnamen überein. Ein nslookup bringt dort ein Haufen Hostnamen zu Tage.

Wie jetzt? Die IP 217.5.180.50 stimmt mit dem Hostnamen yahoo.co.uk ueberein? Also ein "whois 217.5.180.50", und ein "links http://217.5.180.50" sagen mir da etwas anders. Nimm mir doch bitte mal das Brett vom Kopf. :-) Gruss, Andreas -- " Schlechte Zeugen sind Augen und Ohren fuer Menschen, wenn sie Barbarenseelen haben " [Heraklit]

Hallo Dieter,

From: "Dieter Kluenter" To: Sent: Wednesday, January 30, 2002 2:30 PM Subject: Re: Schutz gegen IP-Fälscher möglich? [...]

...

Interessieren würde mich brennend, ob, und vor allem wie ich mich vor solchem Missbrauch unserer IP schützen kann.

...

--Header-- Offending message: Return-Path: Received: from rly-xc04.mx.aol.com (rly-xc04.mail.aol.com [172.20.105.137]) by air-xc03.mail.aol.com (v82.22) with ESMTP id MAILINXC39-0129180138; Tue, 29 Jan 2002 18:01:38 -0500 Received: from yahoo.co.uk (mail.werksarzt.net [217.5.180.50]) by

Wer ist mail.werksarzt.net und wem gehört die Adresse 217.5.180.50

Die Domain werksarzt.net gehört einem Kunden und wird von diesem System gehostet. Auf mail.werksarzt.net steht der MX-Eintrag. Die IP 217.5.180.50 ist unsere.

...

rly-xc04.mx.aol.com (v83.35) with ESMTP id MAILRELAYINXC410-0129180059;

Tue,

...

29 Jan 2002 18:00:59 -0500 Reply-To: Message-ID: <008e02d15aab$5868a4d3$2be67cb2@btxsuj> From:

Im Header fehlen leider die wichtigsten Angaben, entweder unterdrückt, oder von dir nicht übermittelt ?

Ich habe den Header, vollständig in der Form übermittelt, wie er mir mit der Beschwerde zugestellt wurde.

Damit meine ich insbesondere weitere 'received' Angaben, neben den von aol.com. So hat es den Anschein, als ob der Urheber der Mail rly-xc04.mx.aol.com sei.

So habe ich das auch verstanden. Dann gäbe es aber keinen Grund sich bei mir zu beschweren ;-)

Die Hostbezeichnung der Message-ID ist schon seltsam, oder habt ihr solche Hostbezeichnungen ?

Nein, die sieht irgendwie schon komisch aus.

Unterbinden kann man das, indem sendmail-tls eingesetzt wird und nur über Authentifizierung ein relay erlaubt wird.

Kannst Du mir dazu mehr verraten, bzw. mir mitteilen, wo ich Info's dazu finde? Wir verwenden POP before SMTP, bis heute dachte ich, dass das Thema SPAM damit erledigt ist. Danke, Rolf

Hallo zusammen, eben trudelt von einem Provider in den USA eine SPAM-Beschwerde hier ein :-(( Mir scheint, die Sache ist hier anders gelagert, das Subject habe ich aber mal gelassen. Man beachte besonders die 4. Zeile des Headers! Dort steht: "Received: from qwest.net (squid@mail.a-online.org [217.5.180.50])" Zum Einen sei gesagt, dass die Domain a-online.org seit dem 16.10.01 nicht mehr auf dem System läuft, eine Tatsache, die dem Spammer vermutlich nicht bekannt ist. Die angegebene IP ist die unsere. Wie habe ich "squid@mail.a-online.org" zu verstehen?? Gibt es bei Squid ein Sicherheitsloch? Hier läuft "squid2-2.2.STABLE5" Anders als in dem zuerst geschilderten Fall, steht jetzt was im Server-Log: (die Zeilen-Überlänge bitte entschuldigen) -----Mail-LOG---- Jan 30 12:58:48 mail sendmail[30411]: g0UBwKi30411: from=, size=18465, class=0, nrcpts=1, msgid=<005e57c17cdd$8446c3b6$6ab61aa0@nxebjg>, bodytype=8BITMIME, proto=SMTP, daemon=MTA, relay=localhost [127.0.0.1] Jan 30 12:58:50 mail sendmail[30435]: g0UBwKi30411: SYSERR(root): dontsendmailto.abanks.com. config error: mail loops back to me (MX problem?) Jan 30 12:58:50 mail sendmail[30436]: NOQUEUE: localhost [127.0.0.1] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA Jan 30 12:58:50 mail sendmail[30435]: g0UBwKi30411: to=, delay=00:00:28, xdelay=00:00:02, mailer=esmtp, pri=138465, relay=dontsendmailto.abanks.com. [127.0.0.1], dsn=5.3.5, stat=Local configuration error Jan 30 12:58:50 mail sendmail[30435]: g0UBwKi30411: g0UBwoi30435: DSN: Local configuration error Jan 30 12:59:06 mail sendmail[30435]: g0UBwoi30435: to=, delay=00:00:16, xdelay=00:00:16, mailer=esmtp, pri=77965, relay=mail3.uswest.net. [63.226.138.3], dsn=2.0.0, stat=Sent (ok 1012391945 qp 77878) ----- Ende Mail-LOG---- Viel später das hier: Jan 30 15:17:28 mail sendmail[6856]: g0UEHNq06856: from=, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=[127.0.0.100] In der ersten Zeile steht "relay=localhost [127.0.0.1]" Ist das so zu verstehen, dass jemand einen "localhost" vorgaukelt? Damit könnte er POP before SMTP umschiffen. Kann mir jemand helfen, das alles zu verstehen und womöglich abzustellen? Tausend Dank für jede Unterstützung Bye, Rolf ---Header---

From AmericaLenders733654@qwest.net Wed Jan 30 07:53:01 2002

Return-Path: From: Received: from qwest.net (squid@mail.a-online.org [217.5.180.50]) by youth.net (8.11.3/8.11.3) with SMTP id g0UFqPP81817 Wed, 30 Jan 2002 07:52:27 -0800 (PST) (envelope-from AmericaLenders733654@qwest.net) Date: Wed, 30 Jan 2002 07:52:27 -0800 (PST) Received: from 143.205.192.14 ([143.205.192.14]) by mta05bw.bigpond.com with smtp; 30 Jan 2002 09:53:37 +0600 Received: from 101.175.247.191 ([101.175.247.191]) by mx.rootsystems.net with asmtp; Wed, 30 Jan 2002 10:50:28 +0500 Received: from n9.groups.yahoo.com ([107.191.108.139]) by rly-xr01.mx.aol.com with NNFMP; 30 Jan 2002 17:47:20 -0200 Received: from pet.vosn.net ([175.227.158.56]) by mta6.snfc21.pbi.net with esmtp; 31 Jan 2002 00:44:11 -0900 Received: from 155.105.149.48 ([155.105.149.48]) by a231242.upc-a.chello.nl with asmtp; 30 Jan 2002 15:41:03 -0000 Reply-To: Message-Id: <003c65c07deb$3253c2b7$4ec84aa5@kcooit> To: Subject: Rates Will Not Always Be This Low (0701AsKe7-602Wo@14) Mime-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" X-Priority: 3 (Normal) X-Msmail-Priority: Normal X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0) Importance: Normal Content-Transfer-Encoding: quoted-printable X-Mime-Autoconverted: from 8bit to quoted-printable by ns.rb.org id g0UFqwZ92216 --- Header Ende ---

Hallo Dieter, From: "Dieter Kluenter" To:

Sieh dir dringend alle sendmail Konfigurationsdateien an, ob Auffälliges zu entdecken ist. Da hat euch einer ein Kuckuksei ins Nest gelegt.

Ich rate dringend dazu, das gesamte System zu untersuchen, sonst seit ihr in Nullkommanichts auf der Blacklist, das bedeutet, eure Mail und die Mail aller eurer Mailclients wird von keinem Mailserver akzeptiert.

Verstehen ist ganz simpel. Ihr seit vermutlich offen wie ein Scheunentor für Relay Kunden, jemand hat eine Backdoor installiert und nutzt euch für die nächsten Tage.

Ich habe Deinen Rat befolgt und sendmail.cf und alles in /etc/mail durchwühlt. Ich denke, da ist alles paletti. Von "Scheunentor" kann keine Rede sein. Ich habe den Tip von Bernd Schmelter befolgt (Relay-Test bei mail-abuse.org), ich habe es mit einer Wählverbindung selbst versucht und bin am popB4smtp gescheitert. Die Türe ist zu, ohne POP-Login geht nix. Ein paar Minuten vor Deinem Posting habe ich selbst neue Erkenntnisse gepostet. Bis heute wusste ich im übrigen nicht, dass über den SQUID-Proxy relaying möglich ist. Auf der Seite www.squid-cache.org/Doc/FAQ/FAQ-25.html wird vor dieser Möglichkeit ausdrücklich gewarnt. Das hätte ich besser mal früher gelesen ;-) Der Proxy-Scan bei cyberabuse.org war nach der SQUID- Umkonfiguration auch positiv. Ich habe die alte squid.conf mal gesichert und werde den Scan ggf. damit nochmal wiederholen. Meine Nachlässigkeit bei der Konfiguration (oder auch Fahrlässigkeit) habe ich mit einem Abend ohne Familie bezahlt :-( Da ich noch immer ein komisches Gefühl im Bauch habe, wird SQUID heute Nacht gestoppt. Morgen werde ich ein Auge auf dem Mail-Log, das andere auf der Kaffeetasse haben ;-)) Dir schon mal vielen Dank für die Gedanken, die Du Dir gemacht hast - natürlich auch an alle anderen die geantwortet haben. Bye, Rolf

Hallo Zusammen, From: "Rolf Scheurer" To: "Dieter Kluenter" ; Sent: Wednesday, January 30, 2002 6:58 PM Subject: Re: Schutz gegen IP-Fälscher möglich? [...]

Man beachte besonders die 4. Zeile des Headers! Dort steht: "Received: from qwest.net (squid@mail.a-online.org [217.5.180.50])"

Ich denke, ich habe die Sache mit der zweiten Attacke im Griff. Ich habe bei der SQUID-Konfiguration einen gewaltigen Bock geschossen. Das ist schon lange her, damals ging es mir nur darum, dass ich surfen kann (Flatrate gekündigt, dann Interconnect). Die Jung's aus Los Angeles, wo die SPAM-Beschwerde herkam, waren total nett und haben mir sogar erste Tips gegeben. Dass der Hund bei SQUID begraben ist, deutete der übermittelte Header aber ja bereits an. Mein Fehler war, dass: acl all src 0.0.0.0/0.0.0.0 und http_access allow all http_access allow !Safe_ports (mein Gott, war ich blöd...) konfiguriert war. Das sieht jetzt so aus: acl all src 0.0.0.0/0.0.0.0 acl ourhosts src 192.168.115.1-192.168.115.250/255.255.255.0 http_access allow ourhosts http_access deny all http_access deny !Safe_ports Damit dürfte ein Zugriff von außen auf SQUID Geschichte sein. Anschließend habe ich mit dem Proxyscanner unter cyberabuse.org die Kiste gescannt. Ergebnis: Keine Beanstandung :-)) Hat noch jemand eine Idee, worauf ich achten sollte? Bye, Rolf

Hallo Waldemar, From: "Waldemar Brodkorb" To: Sent: Thursday, January 31, 2002 12:54 PM Subject: Re: Schutz gegen IP-Fälscher möglich?

Hallo Rolf,

...

From the keyboard of Rolf, Ich denke, ich habe die Sache mit der zweiten Attacke im Griff. Ich habe bei der SQUID-Konfiguration einen gewaltigen Bock geschossen. Das ist schon lange her, damals ging es mir nur darum, dass ich surfen kann (Flatrate gekündigt, dann Interconnect).

Die Jung's aus Los Angeles, wo die SPAM-Beschwerde herkam, waren total nett und haben mir sogar erste Tips gegeben. Dass der Hund bei SQUID begraben ist, deutete der übermittelte Header aber ja bereits an.

Mein Fehler war, dass: acl all src 0.0.0.0/0.0.0.0 und http_access allow all http_access allow !Safe_ports (mein Gott, war ich blöd...)

konfiguriert war.

Das sieht jetzt so aus: acl all src 0.0.0.0/0.0.0.0 acl ourhosts src 192.168.115.1-192.168.115.250/255.255.255.0 http_access allow ourhosts http_access deny all http_access deny !Safe_ports

[...]

Hat noch jemand eine Idee, worauf ich achten sollte?

Bei Diensten die nur am internen Interface genutzt werden ist es auch sehr sinnvoll zusätzlich den Dämon nur am inneren Interface lauschen zu lassen. Dadurch verhinderst du zusätzlich Versuche von außen deinen Squid zu kompromittieren (falls mal wieder ein root exploit bekannt wird)

http_port 192.168.0.1:3128 icp_port 0

Danke für diesen Tip. Ist bereits umgesetzt.

Die zweite Anweisung dient dazu ICP zu deaktivieren. Dies ist sinnvoll, wenn du keine kaskadierten Proxy's einsetzt die untereinander über ICP kommunizieren.

Nur so als Anmerkung, deine Kiste lädt aber auch förmlich ein zu einem Angriff. Du solltest deine Security Policy nochmal sehr überdenken. (scanne deine IP mal von außen)

Als Beispiel, jedesmal wenn du dich per Webmin an deinen Server anmeldest wird dein Passwort im Klartext über das Netzwerk übertragen. Ich persönlich möchte mir jetzt nicht ausmalen, was ein Angreifer in deinem Webmin alles konfigurieren/einschleusen könnte.

Damit hatte ich bisher selber Bauchschmerzen. Ich habe Webmin zwar so konfiguriert, dass nach 3 falschen Anmeldeversuchen von einer IP Ende ist, das hilft mir aber nix, wenn jemand mein Passwort mithört. Deine Mail habe ich deshalb aber zum Anlass genommen, Webmin-Aufrufe nur noch aus dem lokalen Netz zuzulassen. (Hab's von außen probiert, geht nicht mehr)

Eine andere Möglichkeit wäre Brute Force.

Was ist das, bzw. wo steht, was es ist ? Dir schon mal tausend Dank. Ergänzend sei bemerkt, dass ich das Sendmail-Log von heute Nacht durchforstet habe. Es gab 3 Relay-Versuche, die aber "denied" wurden. Irgendwer hat's auf uns abgesehen :-( Gruß, Rolf

Hallo Bernd, From: "Bernd Schmelter" To: Sent: Wednesday, January 30, 2002 4:54 PM Subject: Re: Schutz gegen IP-Fälscher möglich?

Du kannst Dich ja trotzdem mal folgendem Test unterziehen:

telnet relay-test.mail-abuse.org

Habe ich aus Verzweiflung mal gemacht. Endergebnis: "System appeared to reject relay attempts" Scheinbar ist die Kiste an der Stelle o.k. Danke für den Tip. Bye, Rolf