Re: Sendmail vulnerability? my mistake?

2003-02-11 Пенетрантность Alexander Kotelnikov 
 On Mon, 10 Feb 2003 09:22:23 +0200
 AS == Andrei Sosnin [EMAIL PROTECTED] wrote:
AS 
AS Если бы оно пришло мне на обычный почтовый ящик - я бы просто его
AS удалил, но ведь его пропустил Sendmail, на который я как раз
AS полагался... В меня закралось подозрение, что у меня в Сендмейле дырка

Прямо скажу, полностью мне Ваша мысль не ясна, но по поводу одной ее
части я, пожалуй, процитирую слова Eric'а Allman'а из предисловия к
уже упоминавшейся в параллельном thread'е книжки про этот самый
sendmail. Eric, знаете ли, считает, что популярность sendmail
зиждется, в частности, на том, что доставляет почту, даже если она
кривая, ибо MTA нужен to communicate, not to be pedantic..

Have fun,
-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Sendmail vulnerability? my mistake?

2003-02-10 Пенетрантность Andrei Sosnin 

Здравствуйте!

У меня на сервере стоит Sendmail. Настроен он мной практически по 
минимуму - только принимать почту извне и пересылать внутрисетевую почту 
- все.


Недавно ко мне на этот сервер пришло письмо с таким вот заголовком:

From - Mon Feb 10 08:39:37 2003
X-UIDL: N%!!c(d!!;:E!__D!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 1000
Return-Path: MAILER-DAEMON
Received: from SNAKE (dhcp-19-65.cable.infonet.ee [212.7.19.65])
by alpha.zzx.dyn.ee (8.12.6/8.12.6) with SMTP id h19JeCEB012402
for [EMAIL PROTECTED]; Sun, 9 Feb 2003 21:40:17 +0200
Date: Sun, 9 Feb 2003 21:40:12 +0200
Message-Id: [EMAIL PROTECTED]
Subject: FW: falco kodikas
MIME-Version: 1.0
Content-Type: multipart/related;
type=multipart/alternative;
boundary=_ABC123456j7890DEF_
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-UIDL: N%!!c(d!!;:E!__D!

Внутрь письма была вложена программа - по всей видимости - виндосовский 
вирус... (внутри двоичного кода я заметил фрагменты самого письма, слов 
протокола SMTP и прочую дребедень, ну и слова This program cannot be 
run under DOS-mode)... Само письмо состоит из ничего не значащего кода 
HTML...


Если бы оно пришло мне на обычный почтовый ящик - я бы просто его 
удалил, но ведь его пропустил Sendmail, на который я как раз 
полагался... В меня закралось подозрение, что у меня в Сендмейле дырка - 
либо в настройках, либо в самом МТА. Нехорошо... Уточню: в заголовке 
почему-то отсутствует обязательный (кажется) эелемент From:. То есть он 
есть (первая строка), но он какой-то неправильный... :(


Конечно, хорошо, что оригинальный IP злоумышленника остался (ему я еще 
задам жару! :)), но мне бы не хотелось, чтобы я и все пользователи этого 
сервера страдали от такой штуки. По крайней мере потому, что это 
откровенный спам...


Я, кстати, попробовал и сам что-то подобное провернуть, но не удалось - 
у меня сендмейл требует обязательного реального имени хоста, но 
разрешает имена вроде: [EMAIL PROTECTED]  :-(   Между тем, задать имя хоста в 
виде - мне не удалось...


Есть ли у уважаемых гуру какие-нибудь предположения по причинам казуса и 
предложения по его изничтожению? :-)


С наилучшими поеланиями,

--
Andrei Sosnin
http://zzx.dyn.ee

!-- : it all depends on your vision : --

Re: Sendmail vulnerability? my mistake?

2003-02-10 Пенетрантность Vasiliy 'Druid' Misharev 
On Mon, Feb 10, 2003 at 09:22:23AM +0200, Andrei Sosnin wrote:

 
 Если бы оно пришло мне на обычный почтовый ящик - я бы просто его 
 удалил, но ведь его пропустил Sendmail, на который я как раз 
 полагался... В меня закралось подозрение, что у меня в Сендмейле дырка - 
 либо в настройках, либо в самом МТА. Нехорошо... Уточню: в заголовке 
 почему-то отсутствует обязательный (кажется) эелемент From:. То есть он 
 есть (первая строка), но он какой-то неправильный... :(

sendmail принимая почту по smtp не смотрит на заголовки письма, а
смотрит на то, что ему сказали во время сессии.

-- 
A: No
Q: Should I quote below my post?

Good luck!  /AKA Druid

Re: Sendmail vulnerability? my mistake?

2003-02-10 Пенетрантность Andrei Sosnin 



Vasiliy 'Druid' Misharev wrote:



sendmail принимая почту по smtp не смотрит на заголовки письма, а
смотрит на то, что ему сказали во время сессии.



Это я понимаю. Но что могли сказать Сендмайлу, для того, чтобы он 
пропустил такое письмо? Вот что меня интересовало. Теперь, правда, я знаю:


MAIL FROM: 

:( В общем, мне уже объяснили причину, она в самом протоколе SMTP, 
насколько понимаю... Ограничивать такое поведение, оказывается нельзя...


Один вопрос всем: кому шлются такие письма? root, postmaster или именно 
тому, кому они предназначаются (в моем случае это был [EMAIL PROTECTED]).


--
Andrei Sosnin
http://zzx.dyn.ee

!-- : it all depends on your vision : --

Re: Sendmail vulnerability? my mistake?

2003-02-10 Пенетрантность Andrei Sosnin 



Andrei Sosnin wrote:

Один вопрос всем: кому шлются такие письма? root, postmaster или именно 
тому, кому они предназначаются (в моем случае это был [EMAIL PROTECTED]).




Вопрос снимается. Уже все ясно.

--
Andrei Sosnin
http://zzx.dyn.ee

!-- : it all depends on your vision : --