Neregistrovaný Přihlásit Registrovat

Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Ako ma hackli

Vcera som dostal telefonat od zakaznika, ze sa mu vratili vsetky emaily, ktore posielal s chybovymi hlaskami. Na moje prekvapenie som zistil, ze som na blackliste roznych serverov.
Pri kontrole posty sa dalej ukazalo, ze uz par dni server odosiela vacsie mnozstvo sprav. Ale ako, ked nemam open relay server? A tak som zacal patrat. "Vinnikom" je chudiatko vevericka(webamil), do ktoreho sa dotycny nalogoval cez roota (zaujimave, root totizto nema ziadne heslo a ma zakaz sa prihlasovat remotne, mam len userov v grupe root).
No a tu si zhrniem co som zistil.
1. Utocnik vytvoril v mysql usera bez mena a hesla, ktory sa mohol prihlasit odkialkolvek (naco to je mi trosku zahadne)
2. Courier-imap zrazu zacal overovat hesla cez mysql modul.

Apr 18 11:48:18 n4all pop3d: authdaemon: starting client module
Apr 18 11:48:18 n4all authdaemond.mysql: received auth request, service=pop3, authtype=login
Apr 18 11:48:18 n4all authdaemond.mysql: authshadow: trying this module

hoci ma jasne nastaveny v /etc/courier-imap/authdaemonrc

authmodulelist="authshadow authpwd"

co vidiet aj vo vypise procesov

root 5341 5337 0 2011 ? 00:00:04 saslauthd -a shadow
root 30840 1 0 10:56 ? 00:00:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon/pid -start /usr/libexec/authlib/authdaemond.mysql
root 30841 30840 0 10:56 ? 00:00:00 /usr/libexec/authlib/authdaemond.mysql

V podstate mam dve otazky...stretol sa uz niekto s niecim takymto?
A druha preco courier-imap vola authdaemon.mysql, ked v konfigu ma jasne napisane, ze povolene su len authshadow a authpwd?

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Takze som to cele zanalyzoval a zahadu mailbombingu uz mam vyriesenu. Chyba bola, ze root nemal hesl… nový
fleg 18.04.2012 19:06
 fleg
tak tak heslo treba davat vzdy, ked nechces aby sa nikto nikdy prihlasil tak tam daj heslo iofewuhiu… nový
MM.. 18.04.2012 19:26
 MM..
Tak cele to bolo trosku inak, mysql je ok, root bez hesla je ok, co nie je ok je Courier, ktory ma v… nový
fleg 20.04.2012 10:44
 fleg
Jo, presne jako muj hack, taky problem v neaktualnosti sw :-), No tak roboty scanuji pomalu, trva to… poslední
JR_Ewing 20.04.2012 10:47
 JR_Ewing

Takze som to cele zanalyzoval a zahadu mailbombingu uz mam vyriesenu. Chyba bola, ze root nemal heslo, kedze ho nemal courier sa autentifikoval s akymkolvek heslom.
Heslo som tam nemal kvoli "bezpecnposti", kedze som sa naivne pre 8 rokmi domnieval, ze ked root nebude mat heslo nikto sa neprihlasi (napr ftp server neprihlasi), ale courier evidentne prihlasenie umoznil.

Tak cele to bolo trosku inak, mysql je ok, root bez hesla je ok, co nie je ok je Courier, ktory ma v sebe nejaky bug (tato starsia verzia) a umoznuje prihlasit sa rootovi cez akekolvek heslo.
Zaujimave, ze to zneuzili az teraz, ten server bezi uz 8 rokov, ale aspon sa potvrdilo, ze je dobre mat sw aktualizovany;o).

Jo, presne jako muj hack, taky problem v neaktualnosti sw :-), No tak roboty scanuji pomalu, trva to, nez na server nekdo narazi. Me taky v praci hackli nezabezpeceenou telefonni ustrednu az po nekolika mesicich.

Zpět do poradny Odpovědět na původní otázku Nahoru