Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1721 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [HACK]me suis fait spoofer sur loopback!

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[HACK]me suis fait spoofer sur loopback!

n°346581
bobor
tueur de n44b
Posté le 29-10-2003 à 13:07:32  profilanswer
 

Voilà l'histoire: je reçois un mail d'avertissement de wanadoo comme quoi je fais du spam. Après inspection des logs, je remarque qu'un intrus a envoyé des mails par mon serveur postfix en utilisant les IP 127.0.0.* (mais pas 127.0.0.1).
 
J'ai activer l'antispoofing dans mon kernel et iptables pourtant. Comment est-ce possible?
 
En attendant, j'ai corrigé ma conf postfix en mettant mynetworks=127.0.0.1 au lieu de 127.0.0.0/8
 
Je trouve cela quand même assez étonnant.  


---------------
Gitan des temps modernes
mood
Publicité
Posté le 29-10-2003 à 13:07:32  profilanswer
 

n°346586
bobor
tueur de n44b
Posté le 29-10-2003 à 13:19:57  profilanswer
 

petite précision niveau firewall pour le serveur smtp: je dois ouvrir en source port 25 et dest port 25 ou source port 25 seulement (config atuelle)?


---------------
Gitan des temps modernes
n°346632
bobor
tueur de n44b
Posté le 29-10-2003 à 14:15:24  profilanswer
 

Oct 26 00:04:40 server postfix/smtpd[19874]: < unknown[127.0.0.100]: DATA
Oct 26 00:04:40 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 354 End  
data with <CR><LF>.<CR><LF>
Oct 26 00:04:43 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 250 Ok:  
queued as C39AE568C
Oct 26 00:04:45 server postfix/smtpd[19874]: < unknown[127.0.0.100]: QUIT
Oct 26 00:04:45 server postfix/smtpd[19874]: > unknown[127.0.0.100]: 221 Bye
Oct 26 00:04:45 server postfix/smtpd[19874]: disconnect from  
unknown[127.0.0.100]
Oct 26 00:06:48 server postfix/smtpd[19900]: match_hostname:  
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:06:48 server postfix/smtpd[19900]: match_hostaddr: 212.227.126.156  
~? 127.0.0.0/8
Oct 26 00:06:51 server postfix/smtpd[19900]: match_hostname:  
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:06:51 server postfix/smtpd[19900]: match_hostaddr: 212.227.126.156  
~? 127.0.0.0/8
Oct 26 00:07:00 server postfix/smtpd[19905]: match_hostname:  
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:07:00 server postfix/smtpd[19905]: match_hostaddr: 212.227.126.156  
~? 127.0.0.0/8
Oct 26 00:07:05 server postfix/smtpd[19905]: match_hostname:  
relaytest.kundenserver.de ~? 127.0.0.0/8
Oct 26 00:07:05 server postfix/smtpd[19905]: match_hostaddr: 212.227.126.156  
~? 127.0.0.0/8
Oct 26 00:08:24 server postfix/smtpd[19900]: connect from unknown[127.0.0.100]
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 220 Bobor  
Mail Server
Oct 26 00:08:24 server postfix/smtpd[19900]: < unknown[127.0.0.100]: HELO  
AToulon-201-1-9-114.w81-248.abo.wanadoo.fr
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 250  
mail.home.djice
Oct 26 00:08:24 server postfix/smtpd[19900]: < unknown[127.0.0.100]: MAIL  
FROM: <c8jpaszd@cnn.com>
Oct 26 00:08:24 server postfix/smtpd[19900]: BD004568C:  
client=unknown[127.0.0.100]
Oct 26 00:08:24 server postfix/smtpd[19900]: > unknown[127.0.0.100]: 250 Ok
Oct 26 00:08:25 server postfix/smtpd[19900]: < unknown[127.0.0.100]: RCPT TO:  
<pendray@dockingbay.com>
Oct 26 00:08:25 server postfix/smtpd[19900]: permit_mynetworks: unknown  
127.0.0.100


---------------
Gitan des temps modernes
n°346652
BMOTheKill​er
Posté le 29-10-2003 à 14:52:31  profilanswer
 

tu rajoutes une auth avec sasl et basta, le mec qui n'a pas de compte dessus il ira jouer aux billes...

n°346684
bobor
tueur de n44b
Posté le 29-10-2003 à 15:56:26  profilanswer
 

j'ai bien un auth sasl mais si je veux que le serveur puisse envoyer des mails (mail admin) il faut que je mette mynetworks. Maintenant c'est à 127.0.0.1  
Je ne comprends pas pour autant pourquoi le spoof a fonctionné


---------------
Gitan des temps modernes
n°346692
BMOTheKill​er
Posté le 29-10-2003 à 16:06:26  profilanswer
 

ah oui effectivement, j'ai pas réfléchie, pour les services locaux c'est autre chose...  
 
tu ferais bien d'ajouter une règle DROP sur les IP de 127.0.0.0/8 venant de l'interface externe, mais j'ai l'impression que tu l'as déjà fait :/
ou alors carrément droper sur toutes les interfaces le réseau 127.0.0.0/8 et accepter seulement l'IP 127.0.0.1, si tu n'utilises pas d'autre IP de genre... là pour spoofer dessus faudra s'accrocher :D

n°346697
bobor
tueur de n44b
Posté le 29-10-2003 à 16:39:18  profilanswer
 

enfin quand même, c'est pas normal. Actuellement j'ai en ACCEPT -o lo et -i lo. Je vais restreindre à 127.0.0.1 mais si l'anti-spoofing marche correctement, il n'y a pas besoin.


---------------
Gitan des temps modernes
n°346701
mikala
Souviens toi du 5 Novembre...
Posté le 29-10-2003 à 16:48:07  profilanswer
 

& la personne n'est pas sur ta machine elle meme ?

n°346702
Tomate
Posté le 29-10-2003 à 16:49:44  profilanswer
 

Mikala a écrit :

& la personne n'est pas sur ta machine elle meme ?

je lui ai demande mais il a pas trouve de rootkit ou autre avec chkrootkit ;)


---------------
:: Light is Right ::
n°346711
bobor
tueur de n44b
Posté le 29-10-2003 à 17:04:35  profilanswer
 

y a que moi sur la machine :D


---------------
Gitan des temps modernes
mood
Publicité
Posté le 29-10-2003 à 17:04:35  profilanswer
 

n°346798
mikala
Souviens toi du 5 Novembre...
Posté le 29-10-2003 à 18:16:11  profilanswer
 

tu en es sur ? ;)

n°346803
Tomate
Posté le 29-10-2003 à 18:18:22  profilanswer
 

Mikala a écrit :

tu en es sur ? ;)

c kler :D


---------------
:: Light is Right ::
n°346807
bobor
tueur de n44b
Posté le 29-10-2003 à 18:20:34  profilanswer
 

oui (version timide :D)


---------------
Gitan des temps modernes
n°346839
Tomate
Posté le 29-10-2003 à 18:43:05  profilanswer
 

Bobor a écrit :

oui (version timide :D)

va falloir ke tu verifie tes connexions sortantes et voir aussi a propos de ton relay (avec le telnet ki marche po :D) ;)


---------------
:: Light is Right ::
n°346846
bobor
tueur de n44b
Posté le 29-10-2003 à 18:49:43  profilanswer
 

ça va être lourd de loguer toutes les connections sortantes :D
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.  


---------------
Gitan des temps modernes
n°346849
mikala
Souviens toi du 5 Novembre...
Posté le 29-10-2003 à 18:51:10  profilanswer
 

Bobor a écrit :

ça va être lourd de loguer toutes les connections sortantes :D
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.  
 


c'est pas une gentoo ton serveur ?

n°346850
Tomate
Posté le 29-10-2003 à 18:51:56  profilanswer
 

Mikala a écrit :


c'est pas une gentoo ton serveur ?

[:romf]


---------------
:: Light is Right ::
n°346855
Tomate
Posté le 29-10-2003 à 18:53:58  profilanswer
 

Bobor a écrit :

ça va être lourd de loguer toutes les connections sortantes :D
Mais je ne pense pas qu'il y ait eu intrusion mais plutot exploitation de mon serveur postfix qui relayait les 127.0.0.0/8. Ce que je ne comprends pas, c'est que mon serveur accepte une connection de l'extérieur avec 127.0.0.100 comme IP.  
 

moi je crois plutot ke 127.0.0.100 c pour le FROM ;)


---------------
:: Light is Right ::
n°346856
bobor
tueur de n44b
Posté le 29-10-2003 à 18:54:09  profilanswer
 

je penche putot pour une erreur (comme 99% des erreurs hein tomate77?) du module qui est entre l'écran et la chaise :D


Message édité par bobor le 29-10-2003 à 18:54:35

---------------
Gitan des temps modernes
n°346861
Tomate
Posté le 29-10-2003 à 18:57:23  profilanswer
 

Bobor a écrit :

je penche putot pour une erreur (comme 99% des erreurs hein tomate77?) du module qui est entre l'écran et la chaise :D

huuummm surement, mais bon, il y a klk chose de louche kan meme :D
 
ps : ca suffit tes allegations douteuses :kaola:


---------------
:: Light is Right ::
n°346866
Garfield
Where man gathers, evil grows.
Posté le 29-10-2003 à 18:59:07  profilanswer
 

La fameuse erreur d'interface chaise-clavier... :D

n°346870
bobor
tueur de n44b
Posté le 29-10-2003 à 19:05:08  profilanswer
 

elle est redoutable :D


---------------
Gitan des temps modernes
n°346872
bobor
tueur de n44b
Posté le 29-10-2003 à 19:07:05  profilanswer
 

pour préciser, dans mon script iptables, il y a:

${LOGGER} "Vérification de route..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $f
done
 
# Tell the Kernel to Ignore Source Routed Packets
${LOGGER} "Refusing SSR Packets via SysCtl..."
for f in /proc/sys/net/ipv4/conf/*/accept_source_route ; do
echo 1 > $f
done


---------------
Gitan des temps modernes
n°347195
bobor
tueur de n44b
Posté le 30-10-2003 à 11:34:05  profilanswer
 

:bounce:


---------------
Gitan des temps modernes
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [HACK]me suis fait spoofer sur loopback!

 

Sujets relatifs
[HACK] Aider moi à retrouver mon mot de passe root[HACK] RootKit sous Debian, comment recuperer mon login :'(
Avoir plus de 8 loopback devices ?[Hack] Still need help, but moins urgent now ...
[NEWBIES] loopback et php 
Plus de sujets relatifs à : [HACK]me suis fait spoofer sur loopback!

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.054 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR