At 12:28 PM 3/6/01 +0700, you wrote:
>On Tue, Mar 06, 2001 at 10:38:58AM +0700, Dani Matias wrote:
>> ngga nyambung lagi nih. perasaan saya ngga pernah bilang kirim
>> file via telnet deh :). apakah tulisan "di bom *email*...." itu
>> belum menerangkan maxud saya? :).
>
>Hmm.. mungkin, karena anda sendiri tidak bisa fokus ke masalahnya.
bukan tidak fokus mas. saya ngga pernah bilang kirim file via
telnet lha koq anda bilang:
"BTW, kok larinya ke cab file sih .. memangnya orang bisa kirim cab file ke
mailserver via telnet client?"
so yg ngga fokus itu siapa ya? :).
saya cuman kasih contoh bahwa: dulu orang ngga kepikir bisa membuat
mailserver mati kutu *hanya* dengan mem bom nya dengan email ber attachment
raksasa. itu saja point saya koq. dan sekarang pun mungkin orang ngga
kepikir bahwa telnet ke mailserver itu cukup berbahaya. got it? :)
tapi kalau pertanyaan anda itu ingin dijawab juga, saya jawab: BISA!
(theoretically 99% bisa). tapi jangan pake telnet client standard windows.
mesti pake telnet client yg bisa open local file dan punya protocol tcp/ip
untuk file transfer mode nya. yah kurang lebih pake comm program macam
crosstalk/hyperterminal/bikin sendiri/dsb. atau kalo mau lihat gambarannya
seperti apa kirim file via telnet itu, coba buka hyperterminal,
disitu kita bisa buat telnet session dengan menggunakan tipe koneksi
tcp/ip(winsock).
sayang sekali hyperterminal hanya punya protokol peer-to-peer "umum"
macem kermit/zmodem/xmodem/dsb untuk transfer file.
sebenarnya tinggal nambahin protocol tcp/ip aja plus sedikit command
untuk ngobrol dengan smtp server, dan *bang*, anda bisa kirim file
MUSIC.DAT dari
vcd favorit anda ke mailserver korban...hehehe.
masih belum yakin betapa mudahnya mengganggu mailserver dengan telnet?
ini contoh saya mensimulasikan diri menjadi "mail client" padahal saya pake
telnet client:
/saya telnet ke mdaemon */
220 biofarma.co.id ESMTP service ready [2] MDaemon v2.8.5.0 R
/* disini saya ketik HELO GUYS */
250 biofarma.co.id HELLO GUYS pleased to meet you
/* disini saya ketik MAIL FROM dani.matias (atau mail from syafril kalo mo
coba di mesinnya bung sh...lol...j/k) */
250 <dani.matias>, Sender accepted
/* disini saya ketik RCPT TO dani.matias */
250 <[EMAIL PROTECTED]>, Recipient ok
/* disini saya ketik DATA */
354 Enter mail, end with <CRLF>.<CRLF>
/* disini saya mulai mengetik sembarang text sambil terima telpon,sambil
baca koran or whatever, pokoknya junk data. proses disini
bisa dianalogikan dengan pengiriman file, jadi
bukan tidak mungkin kirim file via telnet kan? :)
dalam state ini mailserver akan menerima setiap keystroke apa adanya
dan hanya "berhenti" jika menerima karakter end-of-message atau di disconnect
secara manual. bagu user mdaemon coba perhatikan "byte received" nya
setiap kita ketik keyboard */
/* kalau sudah bosen ngetik tekan alt-10,alt-13, . , alt-10 */
250 Ok, message saved
/*lalu ketik QUIT */
221 See ya in cyberspace
silahkan dicoba di mailserver anda :).
sebenarnya skenario diatas bisa dibuat lebih mengerikan lagi.
seorang yg baru belajar C language bisa membuat program dengan algoritma
sederhana sbb.:
repeat
ftelnet(victim_machine,send_data_or_file))
until how_many_loop_do_u_want
>Mudah-mudahan berikut ini bisa memperjelas:
>- MTA bisa dikonfigur untuk mencegah akses telnet *hanya* dan *hanya
> jika* 'user' akses dari/menggunakan *telnet client*
>- Dalam hal ini MTA *hanya* mendeteksi apakah yang sedang connected
> ini *telnet client* atau bukan
>- Selain telnet client, MTA *tidak* akan bisa membedakan.
nah ini menarik. pertanyaan sederhana: mengapa hanya telnet client yg
terdeteksi?
>> logika saya sih gini, selama suatu paket data dalam tcp connection
>> belum bisa dibedakan dia berasal client apa (seperti arvel bilang),
>
>ya. betul, tapi MTA bisa dikonfigur untuk check apakah tcp connection
>yang sedang berlangsung itu berasal dari *telnet client* atau tidak.
>Jadi cuman itu saja yang bisa dilakukan. Makanya saya bilang
>'useless'.
buat saya samasekali tidak useless. kalau memang itu bisa dilakukan, saya
bisa buka IP screening mdaemon saya sekarang juga sehingga mdaemon saya
bisa dipop dari manapun, dan itu cukup mengurangi sebagian beban kerja saya
:).
btw, untuk menyegarkan ingatan, saya quote lagi comment nya arvel ke bung sh:
"Syafril, I don't know of any method which would allow me to distinguish
a telnet session from other types of connections. So, I'm afraid I
can't really help with this request"
yah ini yg bikin saya bingung. arvel bilang dia ngga bisa tahu
yg masuk itu telnet client atau bukan, padahal dia adalah programmer mdaemon.
anda bilang mta bisa tahu (mungkin teorinya begitu). se "lugu" itukah arvel?
hmmm...kalo ya, dia sedang mempertaruhkan reputasinya sebagai ceo alt-n :))).
>Kalau yang anda maksud mendeteksi *semua* tcp/ip
>connection selain yang dari MTA, boleh dibilang absurd :-) Jelas,
>semua orang, bahkan yang jenius sekalipun, akan angkat tangan.
sebenarnya yg saya "harapkan" tidak sejauh itu, bisa mendeteksi telnet client
saja sudah bagus, tapi kalau bisa lebih dari itu ya lebih bagus.
saya hanya melihatnya murni dari sisi teknis, bukan aturan atau teori diatas
kertas. logika saya adalah, kalau telnet client bisa dideteksi, knapa yg
lain tidak?
>Ngeblok tcp connection ke port 25 pakai firewall yang saya maksud ya
>jelas ngeblok semua tcp/ip connection, bukan cuman dari telnet client
>saja. Dengan kata lain, diblok semua koneksi ke port 25 dari salah
>satu ip, in case mailserver anda diserang dari ip tsb. Saya pikir
>MDaemon punya kemampuan ini built-in (?)
nah makanya. kalo feature kayak gini sih di mdaemon udah ada. namanya IP
screening.
so...untuk hal ini ngga perlu firewall kan?
dan ini percuma karena kita tidak pernah tau darimana serangan itu berasal.
saya masih "beruntung" pake metoda popcollection dari isp. lha kalo metodanya
terima langsung dari mta lawan (spt yg dilakukan bung sh)?? mana mungkin
bisa dibikin
IP screening table.
>BTW, yang anda cari sebenarnya apa kalau gitu? :-)
jelas, seperti pada subject email ini ditambah "in Mdaemon" :))
-DM-
--
--MDaemon-L----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Untuk menghubungi moderator/List Owner double click link dibawah ini:
<mailto:[EMAIL PROTECTED]>
Untuk Unsubscribe, double click link dibawah ini langsung kirim
<mailto:[EMAIL PROTECTED]>
Untuk Subscribe, double click link dibawah ini langsung kirim
<mailto:[EMAIL PROTECTED]>
--POWERED BY MDAEMON!------------------------------------------------
Anda terdaftar di List ini dg alamat : [email protected]
