gehacked op poort 21, 80 of 10000

Het lijk er eerder op dat je mailserver gewoon een enorme open relay is.... kijk daar eerst maar eens naar....

heb je mischien niet per ongeluk die draytek zo ingesteld dat je linux doos in een DMZ stond (en er dus meer poorten openstonden)

check anders eens op www.grc.com bij shields-up

en ja die linux bak moet geherinstalleerd worden, die machine is niet meer te vertrouwen

[ Voor 8% gewijzigd door Zwelgje op 20-10-2003 21:31 ]

Nou nou... om nu meteen te gaan roepen "opnieuw installeren"..... Als de mailserver (per ongeluk) als open relay geconfigureerd is geweest, dan is het op te lossen door gewoon je mailserver uit te zetten/opnieuw te configureren.

Als blijkt dat je mailserver eerst NIET een open relay was maar door aanpassingen niet door jouw ineens WEL, dan zou ik me zorgen maken en opnieuw installeren...

Open relay testen zijn niet meer dan standaard... Iedere ochtend stuurt logwatch me weer een mailtje met daarin de eervolle vermelding van een divers aantal hosts die weer een hebben gekeken of ik hun mailtjes wou versturen... Dat valt bij mij niet onder de categorie 'gehackt'....

Het enige wat me niet lekker zit is het feit dat iedere MTA (* Whizzer verruimd nu dus zijn statement en kijkt even verder dan sendmail) tegenwoordig standaard geen open relay is, alleen als dit expliciet in de config wordt opgegeven...

Dit lijkt idd meer een open-relay probleem dan een "hack", ik zou ff je smtp server config nalopen

Welke webmin heb je draaien? er zijn namelijk wel exploits voor te vinden..

Hij heeft poort 25 toch niet open staan op zijn router/firewall! Hoe kan het dan een open relay probleem zijn???

Probeer jezelf eens te scannen met nessus (www.nessus.org) dat is een scanner die scanned op (welbekende / nieuwe) exploits (ligt eraan hoevaak je je plugins update )

Verwijderd schreef op 20 oktober 2003 @ 23:48:
Hij heeft poort 25 toch niet open staan op zijn router/firewall! Hoe kan het dan een open relay probleem zijn???

Omdat je niet leest?

zwelgje schreef op 20 oktober 2003 @ 21:30:
heb je mischien niet per ongeluk die draytek zo ingesteld dat je linux doos in een DMZ stond (en er dus meer poorten openstonden)

apache had een zware bug op alle platformen update naar de nieuwste !!!
elke script kiddie kan deze bug gebruiken dus .....

wat ook lollig is dat je in de error logs NT attacks tegen komt.....cmd.exe opstarten onder linux LOL

Ik denk dat ik alle software behalve apache en proftp eraf haal en dan eens een linux virusscanner zien te vinden.... als die bestaan...

Gewoon ff kijken welke mailserver/smtp je hebt draaien en die uitzetten (als je hem niet gebruikt) of goed configgen

Misschien is het verstandig om die maillog een wat gedetailleerder te posten... Er moet namelijk in staan vanaf welk ip adres een verbinding gemaakt is met je mailserver op port 25...

Aan de hand daarvan kun je nagaan of de sessie geinitieerd is vanaf een internet machine of misschien je server zelf..... Als het je server zelf is, dan zou er gebruik gemaakt kunnen zijn van een brak perl script op je webserver, of een FTP-bounce klusje...

Als je de mailserver alleen intern gebruikt dan moet je dat sowieso doen. Je kunt ook nog via iptables de toegang alleen openzetten voor specifieke addressen.
Er zijn sites waar je kunt controleren welke poorten openstaan, en ik weet dat er ook een site is om te controleren of je een open relay bent.

Whizzer schreef op 20 October 2003 @ 21:57:
Het enige wat me niet lekker zit is het feit dat iedere MTA (* Whizzer verruimd nu dus zijn statement en kijkt even verder dan sendmail) tegenwoordig standaard geen open relay is, alleen als dit expliciet in de config wordt opgegeven...

Ey, dat klopt niet!

Postfix (jazeker!) wordt onder RedHat 9.0 default installatie geconfigureerd als relay-allow voor de IP range binnen de IP van de netwerk interface... En zoals je al wel kan gokken klopt dit niet, omdat dit betekent dat de gehele IP range van je provider relay-toegang heeft via jouw server. Oftewel, een andere gebruiker bij dezelfde provider en binnen diezelfde IP range kan dan jou effectief als openrelay gebruiken.

En ja, daar heb ik last van gehad toen ik postfix voor de grap eens uitprobeerde ("ja joh, da's veel veiliger dan dat brakke sendmail"). . Snel weer teruggevlucht naar het "brakke" sendmail, ondanks alle "lekken" en "gaten" heb ik er nog nooit een probleem mee gehad. .

[ Voor 9% gewijzigd door Verwijderd op 21-10-2003 11:33 ]

Verwijderd schreef op 21 October 2003 @ 03:39:
apache had een zware bug op alle platformen update naar de nieuwste !!!
elke script kiddie kan deze bug gebruiken dus .....

Ik weet niet waar je deze info vandaan haalt maar ik heb daar weinig over gelezen (en ik ben security-wise toch aardig op de hoogte)

Verwijderd schreef op 21 October 2003 @ 11:32:
Ey, dat klopt niet!

Postfix (jazeker!) wordt onder RedHat 9.0 default installatie geconfigureerd als relay-allow voor de IP range binnen de IP van de netwerk interface... En zoals je al wel kan gokken klopt dit niet, omdat dit betekent dat de gehele IP range van je provider relay-toegang heeft via jouw server. Oftewel, een andere gebruiker bij dezelfde provider en binnen diezelfde IP range kan dan jou effectief als openrelay gebruiken.

En ja, daar heb ik last van gehad toen ik postfix voor de grap eens uitprobeerde ("ja joh, da's veel veiliger dan dat brakke sendmail"). . Snel weer teruggevlucht naar het "brakke" sendmail, ondanks alle "lekken" en "gaten" heb ik er nog nooit een probleem mee gehad. .

edit:
Overigens werd ik niet afgesloten, ik kreeg slechts het vriendelijke verzoek mijn mailserver te temmen. .

Ah, weer wat geleerd... Ik doe ook alleen sendmailen, maar ik dacht gelezen te hebben dat standaard alle MTA's tegenwoordig niet doe relayen... Van sendmail weet ik dat die het niet doet, maar aangezien Postfix en "naam kwijt van die andere" zeggen veiliger te zijn dan sendmail, durf ik dat niet in twijfel te trekken... Of zou het een standaard redhat config zijn?

* Whizzer is weer blij met sendmail

die poorten staan open van buiten aar binnen ja
van binnen naarbuiten kan alles
dus kan sendmail gewoon sturen, alleen niet ontvangen

wat dus kan zijn gebeurd: iermand hackt je webmin password, komt binnen, gaat naar de ssh client van webmin en voert een script uit. Kijk eens of je in je ssh logs gekke dingen tegen kom

Als je je mailserver opnieuw configd kun je altijd testen of tie relayed...

weet je het gelijk.

Volgens mij kun je SSH sessies terug vinden in :



Tenminste, op mijn RH7.0 systeem kan ik alle sessies met betrekking tot telnet, ssh, etc hier in terug vinden

shotputty schreef op 22 October 2003 @ 23:11:
Ik heb tot mijn schrik nog een webmin mail module gevonden --> postfix (wist niet dat dat een mailmodule was) i.i.g ik heb hem er af gemikt, verder nog drie kwart van de modules, en ik heb op de router poort 25 dicht gezet mocht er iets van die machine komen. Zou dit voldoende zijn? Ik ben bang dat als ik hem aanzet en het weer gebeurd dat ze dat niet zo tof vinden bij mijn provider...

In de logs onder /var/logs/ heb ik in alle mappen alle logs doorgenomen maar er stond niks raars in.

Moet ik nog extra poorten naar buiten toe blokkeren? Of gaat mail echt alleen over poort 25?

Als je poort 25 heb dicht gezet is het ok. Mail gaat alleen over poort 25.

Hans schreef op 21 October 2003 @ 12:14:
[...]

Ik weet niet waar je deze info vandaan haalt maar ik heb daar weinig over gelezen (en ik ben security-wise toch aardig op de hoogte)

lees bv de hackers guide deel IV staat het ook in
en met een standaard install van de meeste recente distro's zonder update hebben deze bug


/quote

Postfix (jazeker!) wordt onder RedHat 9.0 default installatie geconfigureerd als relay-allow voor de IP range binnen de IP van de netwerk interface... En zoals je al wel kan gokken klopt dit niet, omdat dit betekent dat de gehele IP range van je provider relay-toegang heeft via jouw server. Oftewel, een andere gebruiker bij dezelfde provider en binnen diezelfde IP range kan dan jou effectief als openrelay gebruiken.

En ja, daar heb ik last van gehad toen ik postfix voor de grap eens uitprobeerde ("ja joh, da's veel veiliger dan dat brakke sendmail"). . Snel weer teruggevlucht naar het "brakke" sendmail, ondanks alle "lekken" en "gaten" heb ik er nog nooit een probleem mee gehad. .
/quote

hmmm dit wist ik niet ik heb daar geen last van gehad.
maar ik heb een aparte firewall en email server

[ Voor 53% gewijzigd door Verwijderd op 22-10-2003 23:41 ]

lees bv de hackers guide deel IV staat het ook in
en met een standaard install van de meeste recente distro's zonder update hebben deze bug

ja, ik zag in the net dat sandra daar gebruik van maakte om ergens op in te breken (of was da nu the matrix)

En ja, daar heb ik last van gehad toen ik postfix voor de grap eens uitprobeerde ("ja joh, da's veel veiliger dan dat brakke sendmail"). . Snel weer teruggevlucht naar het "brakke" sendmail, ondanks alle "lekken" en "gaten" heb ik er nog nooit een probleem mee gehad. .

Tja, alleen opstarten zegt niets, als redhat postfix verkeerde default instellingen meegeeft dan verander je die toch?

Ik moet zeggen dat ik postfix best simpel te configgen vond, ook vond ik het juist wel goed dat de default config (als je dus een verse postfix hebt) standaard nauwelijks relay mogelijkheden heeft.

shotputty schreef op 22 oktober 2003 @ 23:11:
Ik heb tot mijn schrik nog een webmin mail module gevonden --> postfix (wist niet dat dat een mailmodule was) i.i.g ik heb hem er af gemikt, verder nog drie kwart van de modules, en ik heb op de router poort 25 dicht gezet mocht er iets van die machine komen. Zou dit voldoende zijn? Ik ben bang dat als ik hem aanzet en het weer gebeurd dat ze dat niet zo tof vinden bij mijn provider...

In de logs onder /var/logs/ heb ik in alle mappen alle logs doorgenomen maar er stond niks raars in.

Moet ik nog extra poorten naar buiten toe blokkeren? Of gaat mail echt alleen over poort 25?

Webmin modules eraf gooien heeft geen zin, dit is alleen een grafische omgeving waar jij wat veranderingen in config files kan maken van programma's.

shotputty: Je ziet dus niks in de maillog van je server (/var/log/mail/info)? Je kan ook mail via poort 80 vesturen met een brakke config en mod_proxy. Zie je vreemde requests in de logs van Apache (/var/log/httpd/access_log)? Verder kan je ook mail (spam) versturen via sommige brakke FTP servers, maar geloof niet dat Mandrake deze FTP servers heeft.

Je kan jezelf testen met proxycheck. D'r is een package voor in Mandrake Contrib. Voeg contrib toe met easy urpmi (http://plf.zarb.org/~nanardon/) en installeer um op een andere machine op internet.

ik weet niet of het al genoemd is maar er zijn ook veel ftp lekken... redelijk recent nog in proftpd

tja, maar dan moest je wel een upload dir hebben die open stond voor iedereen...

blouweKip schreef op 23 October 2003 @ 00:05:
Tja, alleen opstarten zegt niets, als redhat postfix verkeerde default instellingen meegeeft dan verander je die toch?

Heb je gelijk in; je vergeet alleen dat ik mijn tijd liever aan zinnige dingen besteed dan het doorlezen van de postfix documentatie terwijl ik net die van sendmail van voren naar achter uit m'n hoofd heb geleerd. Ik progsel liever. .

En aangezien RedHat een veel-gebruikte distro is, vind ik het wel degelijk een probleem. Het is geen postfix-probleem, maar wel een probleem met postfix. .

Verwijderd schreef op 22 October 2003 @ 23:38:
hmmm dit wist ik niet ik heb daar geen last van gehad.
maar ik heb een aparte firewall en email server

Wat heeft een firewall met mail-relaying te maken?

Beelzebubu, om terug te gaan naar sendmail is best wel de weg van de minste weerstand
Was namelijk 1 config optie aanpassen geweest om ander relay gedrag te veroorzaken en die had je echt wel in de config gevonden, zonder allerlei docu door te moeten lezen.

[ Voor 10% gewijzigd door Verwijderd op 23-10-2003 21:30 ]

Verwijderd schreef op 23 October 2003 @ 21:29:
Beelzebubu, om terug te gaan naar sendmail is best wel de weg van de minste weerstand
Was namelijk 1 config optie aanpassen geweest om ander relay gedrag te veroorzaken en die had je echt wel in de config gevonden, zonder allerlei docu door te moeten lezen.

Je hebt wel een beetje gelijk ja. . Misschien ga ik binnenkort weer eens met postfix spelen, het is niet voor eeuwig in de ban gedaan ofzo. .

Maargoed, ik weet dan nog waar ik het moet zoeken... Voor hetzelfde geld zit er een MSCE'er met zo'n RH90-minded baas die hetzelfde probleem heeft; en dan? . "Wat is dat Linux een kut-OS, zeg!"

.

bkor schreef op 23 October 2003 @ 18:43:
[..]
Je kan ook mail via poort 80 vesturen met een brakke config en mod_proxy. Zie je vreemde requests in de logs van Apache (/var/log/httpd/access_log)?

Quote van MDKSA-2003:096-1 - Updated apache2 packages fix CGI scripting deadlock

Likewise, a problem was discovered in the default mod_proxy
configuration which created an open proxy. Users who have installed
mod_perl also have mod_proxy installed due to dependencies and may
unknowingly have allowed spammers to use their MTA via the wide-open
mod_proxy settings.

Had je wel in /var/log/httpd/access_log gekeken?