[HACK]me suis fait spoofer sur loopback!

Marsh Posté le 29-10-2003 à 13:07:32

Voilà l'histoire: je reçois un mail d'avertissement de wanadoo comme quoi je fais du spam. Après inspection des logs, je remarque qu'un intrus a envoyé des mails par mon serveur postfix en utilisant les IP 127.0.0.* (mais pas 127.0.0.1).

J'ai activer l'antispoofing dans mon kernel et iptables pourtant. Comment est-ce possible?

En attendant, j'ai corrigé ma conf postfix en mettant mynetworks=127.0.0.1 au lieu de 127.0.0.0/8

Je trouve cela quand même assez étonnant.

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 13:07:32

Reply

Marsh Posté le 29-10-2003 à 13:19:57

petite précision niveau firewall pour le serveur smtp: je dois ouvrir en source port 25 et dest port 25 ou source port 25 seulement (config atuelle)?

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 14:15:24

Oct 26 00:04:40 server postfix/smtpd[19874]: < unknown[127.0.0.100]: DATA
Oct 26 00:04:40 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 354 End
data with <CR><LF>.<CR><LF>
Oct 26 00:04:43 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 250 Ok:
queued as C39AE568C
Oct 26 00:04:45 server postfix/smtpd[19874]: < unknown[127.0.0.100]: QUIT
Oct 26 00:04:45 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 221 Bye
Oct 26 00:04:45 server postfix/smtpd[19874]: disconnect from
unknown[127.0.0.100]
Oct 26 00:06:48 server postfix/smtpd[19900]: match_hostname:
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:06:48 server postfix/smtpd[19900]: match_hostaddr: 212.227.126.156
~? 127.0.0.0/8
Oct 26 00:06:51 server postfix/smtpd[19900]: match_hostname:
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:06:51 server postfix/smtpd[19900]: match_hostaddr: 212.227.126.156
~? 127.0.0.0/8
Oct 26 00:07:00 server postfix/smtpd[19905]: match_hostname:
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:07:00 server postfix/smtpd[19905]: match_hostaddr: 212.227.126.156
~? 127.0.0.0/8
Oct 26 00:07:05 server postfix/smtpd[19905]: match_hostname:
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:07:05 server postfix/smtpd[19905]: match_hostaddr: 212.227.126.156
~? 127.0.0.0/8
Oct 26 00:08:24 server postfix/smtpd[19900]: connect from unknown[127.0.0.100]
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 220 Bobor
Mail Server
Oct 26 00:08:24 server postfix/smtpd[19900]: < unknown[127.0.0.100]: HELO
AToulon-201-1-9-114.w81-248.abo.wanadoo.fr
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 250
mail.home.djice
Oct 26 00:08:24 server postfix/smtpd[19900]: < unknown[127.0.0.100]: MAIL
FROM: <c8jpaszd@cnn.com>
Oct 26 00:08:24 server postfix/smtpd[19900]: BD004568C:
client=unknown[127.0.0.100]
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 250 Ok
Oct 26 00:08:25 server postfix/smtpd[19900]: < unknown[127.0.0.100]: RCPT TO:
<pendray@dockingbay.com>
Oct 26 00:08:25 server postfix/smtpd[19900]: permit_mynetworks: unknown
127.0.0.100

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 14:52:31

tu rajoutes une auth avec sasl et basta, le mec qui n'a pas de compte dessus il ira jouer aux billes...

Reply

Marsh Posté le 29-10-2003 à 15:56:26

j'ai bien un auth sasl mais si je veux que le serveur puisse envoyer des mails (mail admin) il faut que je mette mynetworks. Maintenant c'est à 127.0.0.1
Je ne comprends pas pour autant pourquoi le spoof a fonctionné

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 16:06:26

ah oui effectivement, j'ai pas réfléchie, pour les services locaux c'est autre chose...

tu ferais bien d'ajouter une règle DROP sur les IP de 127.0.0.0/8 venant de l'interface externe, mais j'ai l'impression que tu l'as déjà fait
ou alors carrément droper sur toutes les interfaces le réseau 127.0.0.0/8 et accepter seulement l'IP 127.0.0.1, si tu n'utilises pas d'autre IP de genre... là pour spoofer dessus faudra s'accrocher

Reply

Marsh Posté le 29-10-2003 à 16:39:18

enfin quand même, c'est pas normal. Actuellement j'ai en ACCEPT -o lo et -i lo. Je vais restreindre à 127.0.0.1 mais si l'anti-spoofing marche correctement, il n'y a pas besoin.

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 16:48:07

& la personne n'est pas sur ta machine elle meme ?

Reply

Marsh Posté le 29-10-2003 à 16:49:44

Mikala a écrit :

& la personne n'est pas sur ta machine elle meme ?

je lui ai demande mais il a pas trouve de rootkit ou autre avec chkrootkit

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 17:04:35

y a que moi sur la machine

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 17:04:35

Reply

Marsh Posté le 29-10-2003 à 18:16:11

tu en es sur ?

Reply

Marsh Posté le 29-10-2003 à 18:18:22

Mikala a écrit :

tu en es sur ?

c kler

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 18:20:34

oui (version timide )

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 18:43:05

Bobor a écrit :

oui (version timide )

va falloir ke tu verifie tes connexions sortantes et voir aussi a propos de ton relay (avec le telnet ki marche po )

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 18:49:43

ça va être lourd de loguer toutes les connections sortantes
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 18:51:10

Bobor a écrit :

ça va être lourd de loguer toutes les connections sortantes
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.

c'est pas une gentoo ton serveur ?

Reply

Marsh Posté le 29-10-2003 à 18:51:56

Mikala a écrit :

c'est pas une gentoo ton serveur ?

[:romf]

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 18:53:58

Bobor a écrit :

ça va être lourd de loguer toutes les connections sortantes
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.

moi je crois plutot ke 127.0.0.100 c pour le FROM

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 18:54:09

je penche putot pour une erreur (comme 99% des erreurs hein tomate77?) du module qui est entre l'écran et la chaise

Message édité par bobor le 29-10-2003 à 18:54:35

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 18:57:23

Bobor a écrit :

je penche putot pour une erreur (comme 99% des erreurs hein tomate77?) du module qui est entre l'écran et la chaise

huuummm surement, mais bon, il y a klk chose de louche kan meme

ps : ca suffit tes allegations douteuses :kaola:

---------------
:: Light is Right ::

Reply

Marsh Posté le 29-10-2003 à 18:59:07

La fameuse erreur d'interface chaise-clavier...

Reply

Marsh Posté le 29-10-2003 à 19:05:08

elle est redoutable

---------------
Gitan des temps modernes

Reply

Marsh Posté le 29-10-2003 à 19:07:05

pour préciser, dans mon script iptables, il y a:

${LOGGER} "Vérification de route..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $f
done

# Tell the Kernel to Ignore Source Routed Packets
${LOGGER} "Refusing SSR Packets via SysCtl..."
for f in /proc/sys/net/ipv4/conf/*/accept_source_route ; do
echo 1 > $f
done

---------------
Gitan des temps modernes

Reply

Marsh Posté le 30-10-2003 à 11:34:05

:bounce:

---------------
Gitan des temps modernes

Reply

Marsh Posté le

Reply

[HACK]me suis fait spoofer sur loopback!

Sujets relatifs:

Leave a Replay