Hallo Alex,
laut https://tls12.xargs.org/ würde "16 03 03" auf "client key
exchange" passen, wenn da nicht immer diese 01 wäre.
Laut Doc sollte da 16 03 03 00 kommen, hier habe ich aber immer 16 03 03 01.
Da würde auch zuerst das client hello fehlen, das aber 16 03 01 sein
soll (eine 03 weniger...)
Abgesehen davon wäre meine erste Vermutung dann doch "irgendwie
richtig", das der Kram Oktal-Zahlen sein sollen (okt 26 == hex 16)
Was machen dann aber die nicht-numerischen ASCII-Char dazwischen?
Nebenbei, jetzt gibts auch eine Null-Version davon:
postfix/smtpd[15963]: improper command pipelining after CONNECT from
ec2-13-40-123-112.eu-west-2.compute.amazonaws.com[13.40.123.112]:
\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000
Entweder ist das total raffiniert, oder einfach bloß kaputt.
Grüße
Jörg
Am 13.01.24 um 22:38 schrieb Alexander Joelly:
\026\003\003 sieht nach einem TLS 1.2 Handshake aus und sollten HEX
Werte sein (16 03 03)
lg,
Alex
On 1/13/24 21:17, Joerg Hartmann via postfix-users wrote:
Hallo allerseits,
ich hab auf einer meiner Maschinen mal wieder eine neue Sorte Unfug.
Siehe beiliegendes Bild:
45760+01:00 postfix/smtpd[16432]: improper command pipelining after
CONNECT from unknown[199.45.154.50]:
\026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272C\360Wj\312\366^X\305\311t\334
48449+01:00 postfix/smtpd[16432]: warning: non-SMTP command from
unknown[199.45.154.50]:
\026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272
10291+01:00 handwerker postfix/smtpd[16432]: improper command
pipelining after CONNECT from unknown[199.45.154.50]:
\026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\332\365\t\2619T\3472\316\240\03
10350+01:00 postfix/smtpd[16432]: warning: non-SMTP command from
unknown[199.45.154.50]:
\026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\3
47272+01:00 postfix/smtpd[16432]: connect from unknown[199.45.154.50]
47338+01:00 postfix/smtpd[16432]: improper command pipelining after
CONNECT from unknown[199.45.154.50]:
\026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\353\246:_W\254\341&t\310\344
\26
47621+01:00 postfix/smtpd[16432]: warning: non-SMTP command from
unknown[199.45.154.50]:
\026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\35
Ich dachte erst, das wäre irgendwie oktal codiert o.ä., es sind aber
teilweise auch "Nicht-Oktale-Zeichen" dazwischen.
Das ist auch nix base64-codiertes. Jedenfalls kommt bei
decode-Versuch nur Schruz raus.
Allerdings fängt dieses Zeuchs immer mit "\026\003\003\001" an.
Kann jemand hier etwas Licht in diese Sache bringen?
Meine postfix-Version ist hier 3.7.9
Grüße
Jörg
