[Postfixbuch-users] mail-relay hacker finden / fangen

Maag Oskar Oskar.Maag at IMA-Abele.de
Di Apr 27 15:17:14 CEST 2004


Marc Samendinger schrieb:
...
> 
> Die Frage ist ob das tatsächlich ein beabsichtigter "Angriff" ist.
> 
hab doch gesagt: Daraus ergibt sich eindeutig, daß es manuelle Versuche sind.
das sind unterschiedliche Anzahlen von "AUTH" mit einem allerdings existierenden Emailkonto
...
> 
> Was heisst am "AUTH scheitert"?
> 
hast du keinen (Postfix)-Mailserver? Falls ja, braucht man da kein Passwort?
Falls Mailserver ohne Passwort, welche Personen und hacker und Würmer können den benutzen?
...
> 
> Es wäre sicherlich interessant was denn tatsächlich von dem
> "Hacker" versucht wird. Ein tcpdump kann da helfen.
> Nicht das sich der "Hacker" einfach nur als falsch konfigurierter
> Mail Client erweist, der aufgrund eines Tippehlers bei dir
> rauskomt.
> 
also ein paar Zeilen aus /var/log/mail:
Apr 2x hh.m0:13 postfix postfix/smtpd[25652]: connect from unknown[a.b.c.d]
Apr 2x hh.m0:23 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m0:26 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m0:33 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m0:37 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m0:46 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m1:10 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m1:57 postfix postfix/smtpd[25652]: warning: unknown[a.b.c.d]: SASL LOGIN authentication failed
Apr 2x hh.m2:20 postfix postfix/smtpd[25652]: lost connection after AUTH from unknown[a.b.c.d]
Apr 2x hh.m2:20 postfix postfix/smtpd[25652]: disconnect from unknown[a.b.c.d]
und die Anzahl der LOGIN's variiert. Und natürlich macht er seine "Tippfehler" beim Passwort!
...
> 
> Gib mal ein bisschen mehr Infos was denn nun wirklich passiert.
> 
> marc
siehe oben: Was für Infos brauchst du noch?


Ralf Kayser schrieb:
...
 >
 > Willkommen im Club ;(
 >
Danke. Hab das Wort "Postfix" das erste mal im Februar gelesen, und dann hat man das "grüne Postfix Buch" und danach das "graue 
Postfix-Buch" gekauft. Und ich habs gern gelesen.
...
 >>Interessiert das Thema noch jemand?
 >
 >
 > Ja.
Erfreulich. Ich dachte, es gibt evtl. erprobte Strategien, da das Problem doch nur für mich neu ist. Details müßten wir ja nicht 
in der Liste diskutieren. Oder doch? Als HOWTO für Hacker?
Und Zeit haben wir (alle) keine, außer dem hacker. Aber Sicherheit wär wichtig, und auch, daß nicht Hinz und Kunz meint, "im 
Kindernet passiert mir nix". (TENET = bayrisch: SO NET)

Schaumermal

Oskar




Mehr Informationen über die Mailingliste Postfixbuch-users