Re: Mi küldi a levelet?
2012-02-02 17:20 keltezéssel, Mihaly Zachar írta: Ezt a thread-et miert nem zartad le megfeleloen ? Ha a lezárás alatt azt érted, hogy végül is hogy' oldódott meg a az egész, akkor igazából csak tüneti kezelést tudtam végezni. Leírhatom a lépéseket, de az nem ad választ a lentebbi kérdésedre. A lényege, hogy bizonyos mentések után újratelepítettem ez egész rendszert, plusz megszüntettem a normál ssh hozzáférést az internet felől. Azóta nem tapasztaltam zavart a rendszerben. Te pedig nem irtad le, hogy vegul honnan szedted/kaptad a hackelt sshd-t. Sajnos, fogalmam sincs. Még sajnálatosabb, hogy siettemben nem mentettem le a hackelt sshd-t, így már nyomozni sincs mit. Üdv: Pali. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011.12.21. 19:43 keltezéssel, Laborczi Pál írta: Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Valakinek nagyon meg kéne ütnie a bokáját. Rákerestem erre, azt vártam, hogy lesz valami nyilvánvaló találat, de nem iagzán találok semmi konkrétat. Ezeket viszont találtam, talán kapcsolódhat: http://www.securelist.com/en/blog?print_mode=1weblogid=625 http://en.wikipedia.org/wiki/Duqu http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-21 20:00 keltezéssel, Magosányi Árpád írta: On 12/21/2011 07:43 PM, Laborczi Pál wrote: A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó plain/text jelszavát. [] Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Én inkább exploitra tippelnék, mint frissítésre. Szerintem a kettő nem zárja ki egymást. Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. Egész jó doksik vannak a neten. Kezdd talán az owasp-on. Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, mert valójában nem sikerült a jelszóküldés. De aki az internetre közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a jelszavait már rég ellopták. És hiába változtatja meg, mert azt is rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki nem tud az egészről. És nem értem a listán csöndet. A nyílt forráskódot használó közösséget nyilvánvalóan aljas támadás érte. Valaki jelszavakat lopkod és semmi épkézláb reakció??? Az önvédelem mellett számomra legalább olyan fontos, hogy értesíteni kéne: 1.) a Centos (RPM?) közösséget, mert lehetséges, hogy nem is sejtik a veszélyt; mert azonnali beavatkozás szükséges. 2.) az openssh fejlesztőit, mert nem tudják, hogy gyalázatos alak van közöttük. 3.) A jelszó lopás mindenhol, de nálunk biztosan törvénybe ütköző, tehát az elkövetőt el kéne kapni. Ez nyilván nem a mi feladatunk, de ha nem lépünk, nem is fog történni ez irányban semmi sem. Vagy inkább ne álmodozzam? _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál írta: 2011-12-21 20:00 keltezéssel, Magosányi Árpád írta: On 12/21/2011 07:43 PM, Laborczi Pál wrote: A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó plain/text jelszavát. [] Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Én inkább exploitra tippelnék, mint frissítésre. Szerintem a kettő nem zárja ki egymást. Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. Egész jó doksik vannak a neten. Kezdd talán az owasp-on. Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, mert valójában nem sikerült a jelszóküldés. De aki az internetre közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a jelszavait már rég ellopták. És hiába változtatja meg, mert azt is rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki nem tud az egészről. Nyilván nem a gyári bináris hekkelték meg, hanem a te gépeden lévőt. Ha feltelepítesz egy szűz rendszert, akkor megoldódnak a gondjaid. Ha megfelelően bezárod, akkor nem fog ilyen előfordulni a közeljövőben. És nem értem a listán csöndet. A nyílt forráskódot használó közösséget nyilvánvalóan aljas támadás érte. Valaki jelszavakat lopkod és semmi épkézláb reakció??? Pontosítsunk. Téged ért ilyen támadás. Megértem, hogy hangsúlyosnak érzed a problémádat de mindenkinek van saját élete. A listán önkéntesen és nem kötelező jelleggel történik a segítségnyújtás. Az önvédelem mellett számomra legalább olyan fontos, hogy értesíteni kéne: 1.) a Centos (RPM?) közösséget, mert lehetséges, hogy nem is sejtik a veszélyt; mert azonnali beavatkozás szükséges. 2.) az openssh fejlesztőit, mert nem tudják, hogy gyalázatos alak van közöttük. 3.) A jelszó lopás mindenhol, de nálunk biztosan törvénybe ütköző, tehát az elkövetőt el kéne kapni. Ez nyilván nem a mi feladatunk, de ha nem lépünk, nem is fog történni ez irányban semmi sem. Nosza! Vagy inkább ne álmodozzam? Azt szabad, de ne mástól várj olyat, amit magadnak kéne megtenned.. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On Thu, Dec 22, 2011 at 12:15:04PM +0100, Laborczi Pál wrote: Én inkább exploitra tippelnék, mint frissítésre. Szerintem a kettő nem zárja ki egymást. Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. Egész jó doksik vannak a neten. Kezdd talán az owasp-on. Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, Nem tartom annyira valoszinunek, hogy a hivatalos repo-bol ment neked az a hackelt sshd, kulonben eleg sok ember szivna meg, es mar reg hir lenne belole valami portalon (ha neked feltunt, masnak is feltunne gondolom, tovabba nem valoszinu, hogy csak egy mareknyi ember hasznal CentOS-t). Amugy ezt tudod ellenorizni, hozd le a csomagot (pl akar kezzel) es nezd meg, hogy abban benne van a kerdeses string, vagy pl md5 stb checksum-ot nezd meg, hogy ugyanaz az sshd binaris-e, ami nalad fenn van. En arra tippelek, hogy valoszinuleg nem. Persze nem lehetetlen, hogy neked van igazad, am imho ez a sokkal-de-sokkal ritkabb verzio! Szerintem ellenorizd ezt a teoriat, mielott ebbe eled bele magad (es igy abba a hamis biztonsagerzetbe ringatod magad, hogy a geped security-ja amugy tokeletes volt csak a frissitessel jott le a preparalt sshd) Ami szerintem valoszinubb, es a szokasos dolog: betortek valahogy a szerveredre, es a kerdeses sshd helyere tettek a preparalt verziot. Azaz nem a repo-bol frissiteskor jott le ez neked, hanem szepen lecsereltek. mert valójában nem sikerült a jelszóküldés. De aki az internetre közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a jelszavait már rég ellopták. És hiába változtatja meg, mert azt is rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki nem tud az egészről. És nem értem a listán csöndet. A nyílt forráskódot használó közösséget nyilvánvalóan aljas támadás érte. Valaki jelszavakat lopkod és semmi épkézláb reakció??? Semmi, mert ilyen nap mint nap tortenik sajna regeteg helyen, es altalaban nem a CentOS (jelen esetben) a hibas, hogy naluk van a cuccos ilyen formaban, amit te frissitettel (es ezaltal lett ilyesmid), hanem bejutottak a gepedre, es aztan ott ok szepen lecsereltek. Vagy inkább ne álmodozzam? Inkabb ne, imho elobb a sajat hazad kornyeken nezd korul, mielott kb az egesz vilagot hibaztatod :) _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/22/2011 12:15 PM, Laborczi Pál wrote: Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, mert valójában nem sikerült a jelszóküldés. De aki az internetre közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a jelszavait már rég ellopták. És hiába változtatja meg, mert azt is rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki nem tud az egészről. Kb kizártnak tartom, hogy a gyári csomagban van az exploit. Az alatt az egy hét alatt, mire rájöttél hogy meghekkelték az ssh-dat, már régen világméretű botrány lett volna belőle. Mindenesetre mielőtt bejelented a bakit a redhatnél vagy hol, töltsd le egy valószínűleg hekkeletlen gépre a csomagot, csomagold ki és nézd meg hogy benne van-e az a híres emailcím abban is. Az újratelepítés ilyen esetekben azért a Szokásos Eljárás ((c) Micimackó), mert nem tudhatod, hogy mit hekkeltek még meg. Ha nem vagy ott a szeren, akkor azért, ha meg ott vagy, akkor tudod hogy nem mehetsz biztosra. Nézd pozitívan a helyzetet. Ha felnyomják az ember gépét, abból sok mindent lehet tanulni: biztonsági alapismereteket, önismeretet és alázatot. Te is el fogsz jutni idáig előbb-utóbb. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-22 12:15 keltezéssel, Laborczi Pál írta: 2011-12-21 20:00 keltezéssel, Magosányi Árpád írta: On 12/21/2011 07:43 PM, Laborczi Pál wrote: A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó plain/text jelszavát. [] Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Én inkább exploitra tippelnék, mint frissítésre. Szerintem a kettő nem zárja ki egymást. Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. Egész jó doksik vannak a neten. Kezdd talán az owasp-on. Nem értem ezt a választ. Egy újra telepítéssel mi változna? RPM csomagból ugyanúgy fölmenne ez a meghekkelt sshd. Nekem szerencsém volt, mert valójában nem sikerült a jelszóküldés. De aki az internetre közvetlenebb módon kapcsolódik, és így épít egy ssh szervert, annak a jelszavait már rég ellopták. És hiába változtatja meg, mert azt is rögtön elküldi a rendszer. És a felhasználóktól a rendszergazdáig senki nem tud az egészről. És nem értem a listán csöndet. A nyílt forráskódot használó közösséget nyilvánvalóan aljas támadás érte. Valaki jelszavakat lopkod és semmi épkézláb reakció??? Nem akarok vulgáris kifejezést használni, de ha egy jó nő pucéran kiáll a sarokra, és minden arra járó úrra kacéran mosolyog, azt előbb-utóbb megb..szák, ha opensource, ha nem. Szóval a password authentikáción kívül van még más, ami használható, egyrészt. Másrészt az sftp-t tehetted volna chrootba is, sőt azt is megcsinálhattad volna, hogy shell parancsokat ne tudjon használni az ember, és még lehetne sorolni a praktikákat, amelyekhez - nem titok -, tele van a net how-tokkal. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On Thu, Dec 22, 2011 at 12:15 PM, Laborczi Pál lp...@pse.siemens.hu wrote: 1.) a Centos (RPM?) közösséget, mert lehetséges, hogy nem is sejtik a veszélyt; mert azonnali beavatkozás szükséges. Biztos vagy abban, hogy a csomag a hivatalos repobol lett felteve? Milyen CentOS, milyen csomagverzio? rpm -V openssh-server mit ad vissza? -- Dr. Szöszi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-22 15:55 keltezéssel, Laszlo Beres írta: On Thu, Dec 22, 2011 at 12:15 PM, Laborczi Pállp...@pse.siemens.hu wrote: 1.) a Centos (RPM?) közösséget, mert lehetséges, hogy nem is sejtik a veszélyt; mert azonnali beavatkozás szükséges. Biztos vagy abban, hogy a csomag a hivatalos repobol lett felteve? Milyen CentOS, milyen csomagverzio? rpm -V openssh-server mit ad vissza? Ha kicserélték a binárist, én egy-két md5sum-ra is kíváncsi lennék... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/20/2011 05:03 PM, Laborczi Pál wrote: Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? Mondom hogy auditd. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-20 17:46 keltezéssel, Ferenc Wagner írta: Laborczi Pállp...@pse.siemens.hu writes: 2011-12-20 12:13 keltezéssel, Ferenc Wagner írta: Első körben azt nézd meg, hogy az SMTP szerveredet (a szomszéd gépet) rá tudod-e beszélni, hogy futtasson ident lekérdezést (esetleg csak a szóban forgó email címre). Na, bukta. Ezt találtam: Postfix has no support for IDENT. (Sun Aug 9, 2009 7:01 pm) Amúgy köszönöm a leírást, így már világos (hogy mit kéne tennem) Lehet, hogy igaza lesz M. Árpinak! :-) _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-21 11:18 keltezéssel, Magosányi Árpád írta: On 12/20/2011 05:03 PM, Laborczi Pál wrote: Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? Mondom hogy auditd. Végig néztem az auditd.conf-ot, de nem tudtam rájönni, mire gondolsz. A tcp_listen_port. ill. a tcp_client_ports paramétereket nem látom alkalmasnak a föladatra. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-21 01:36 keltezéssel, Gabor HALASZ írta: Rendben, meggyőztél. De ha lehet, egy kicsit bővebben, mert freebsd-ről van szó. Telepítve nincs ilyen csomag, a leírások meg ilyeneket tartalmaznak, hogy: An RFC1413 identification server which also supports random replies. Magyarán nem igazán tudom, melyik program kellene define(`confTO_IDENT', `5s') Ha ezzel a sendmail-re gondoltál, akkor nem játszik, mert postfix van. Azért köszi... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/21/2011 2:49 PM, Laborczi Pál wrote: 2011-12-21 01:36 keltezéssel, Gabor HALASZ írta: Rendben, meggyőztél. De ha lehet, egy kicsit bővebben, mert freebsd-ről van szó. Telepítve nincs ilyen csomag, a leírások meg ilyeneket tartalmaznak, hogy: An RFC1413 identification server which also supports random replies. Magyarán nem igazán tudom, melyik program kellene define(`confTO_IDENT', `5s') Ha ezzel a sendmail-re gondoltál, akkor nem játszik, mert postfix van. Persze, mert csak FreeBSD-t irtal, ott meg a sendmail a default. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/21/2011 01:50 PM, Laborczi Pál wrote: 2011-12-21 11:18 keltezéssel, Magosányi Árpád írta: On 12/20/2011 05:03 PM, Laborczi Pál wrote: Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? Mondom hogy auditd. Végig néztem az auditd.conf-ot, de nem tudtam rájönni, mire gondolsz. A tcp_listen_port. ill. a tcp_client_ports paramétereket nem látom alkalmasnak a föladatra. Azzal kezdeném, hogy az exec,fork és connect syscallok auditálását állítom be. /etc/audit/audit.rules -a exit,always -S fork -a exit,always -S exec -a exit,always -S connect Nézd végig a syscall listát, mert lehet hogy fejből kifelejtettem valamit (clone, execve, ilyesmi) A /etc/audisp/plugins.d/syslog.conf-ban is lehet hogy active=true beállítást akarsz. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: 2011-12-20 17:46 keltezéssel, Ferenc Wagner írta: Laborczi Pállp...@pse.siemens.hu writes: 2011-12-20 12:13 keltezéssel, Ferenc Wagner írta: Első körben azt nézd meg, hogy az SMTP szerveredet (a szomszéd gépet) rá tudod-e beszélni, hogy futtasson ident lekérdezést (esetleg csak a szóban forgó email címre). Na, bukta. Ezt találtam: Postfix has no support for IDENT. (Sun Aug 9, 2009 7:01 pm) Amúgy köszönöm a leírást, így már világos (hogy mit kéne tennem) Lehet, hogy igaza lesz M. Árpinak! :-) Ha valami miatt az auditd-vel nem boldogulsz, akkor az iptables NFQUEUE target és az IPTables::IPv4::IPQueue Perl modul segítségével még mindig gyorsan összedobhatsz egy ident callbackhez hasonló funkciót a Postfix háta mögött. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-21 15:05 keltezéssel, Magosányi Árpád írta: Azzal kezdeném, hogy az exec,fork és connect syscallok auditálását állítom be. /etc/audit/audit.rules -a exit,always -S fork -a exit,always -S exec -a exit,always -S connect Nézd végig a syscall listát, mert lehet hogy fejből kifelejtettem valamit (clone, execve, ilyesmi) A /etc/audisp/plugins.d/syslog.conf-ban is lehet hogy active=true beállítást akarsz. Köszi, vannak már életjelek. Ha csak az -S connect sor él, már akkor is naplózza a levélküldést. Igaz, egy sima ls parancsra is már egy hosszú, számomra nem igazán értelmezhető sort ír a naplóba. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/21/2011 04:49 PM, Laborczi Pál wrote: Köszi, vannak már életjelek. Ha csak az -S connect sor él, már akkor is naplózza a levélküldést. Igaz, egy sima ls parancsra is már egy hosszú, számomra nem igazán értelmezhető sort ír a naplóba. Read The Fine Manual http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Megtaláltam a bűnöst: az openssh-server az. Ha valaki normál ssh-val lép be, akkor nem történik semmi különös. De ha sftp klienssel, akár winscp-vel, akkor minden belépéskor keletkezik egy ilyen, a root nevében föladott levél, ami csak azért landol nálam, mert a rendszer nem tudja kézbesíteni. A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó plain/text jelszavát. ~]# strings /usr/sbin/sshd | grep ride ridethefH és ~]# strings /usr/sbin/sshd | grep gmail og@gmailH Na, erre varrjatok gombot! Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Valakinek nagyon meg kéne ütnie a bokáját. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/21/2011 07:43 PM, Laborczi Pál wrote: A levél címzettje: ridethe...@gmail.com. És tartalmazza a felhasználó plain/text jelszavát. [] Az érdekes az, hogy ez a jelenség csak egy adott pillanattól kezdődött, tehát valamelyik frissítéssel kerülhetett bele. Én inkább exploitra tippelnék, mint frissítésre. Mentsd le ami fontos és nem bináris, utána vegyél elő egy XXL-es gyalut. Mielőtt újratelepítenéd a rendszert, gyúrd ki magad egy kicsit securityből. Egész jó doksik vannak a neten. Kezdd talán az owasp-on. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: De nagyobb hiba, hogy a lesbeálló program elégtelen sebességgel működik. Ha a for ciklust sleep 1 nélkül futtatom, közel 100%-ra megterheli a CPU-t. Létezik 1 sec alatti késleltetés? Debian stable alatt lehet a sleepnek tört értékű argumentumot adni (pl. sleep 0.1). De továbbra is azt gondolom, hogy rosszul fogod meg a problémát: nem pörögni kellene, hanem a TCP kapcsolat megnyitásakor visszakérdezni identtel. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-20 09:39 keltezéssel, Ferenc Wagner írta: De továbbra is azt gondolom, hogy rosszul fogod meg a problémát: nem pörögni kellene, hanem a TCP kapcsolat megnyitásakor visszakérdezni identtel. Rendben, meggyőztél. De ha lehet, egy kicsit bővebben, mert freebsd-ről van szó. Telepítve nincs ilyen csomag, a leírások meg ilyeneket tartalmaznak, hogy: An RFC1413 identification server which also supports random replies. Magyarán nem igazán tudom, melyik program kellene _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: 2011-12-20 09:39 keltezéssel, Ferenc Wagner írta: De továbbra is azt gondolom, hogy rosszul fogod meg a problémát: nem pörögni kellene, hanem a TCP kapcsolat megnyitásakor visszakérdezni identtel. Rendben, meggyőztél. De ha lehet, egy kicsit bővebben, mert freebsd-ről van szó. Telepítve nincs ilyen csomag, a leírások meg ilyeneket tartalmaznak, hogy: An RFC1413 identification server which also supports random replies. Magyarán nem igazán tudom, melyik program kellene Valószínűleg egyik sem, mert nem a felhasználónevet akarod visszaadni, hanem minél több infót eltárolni a kapcsolatot nyitó processzről. Első körben azt nézd meg, hogy az SMTP szerveredet (a szomszéd gépet) rá tudod-e beszélni, hogy futtasson ident lekérdezést (esetleg csak a szóban forgó email címre). Ha nem, akkor marad az iptables -j QUEUE trigger. Ha igen, akkor írsz egy programot, ami az ident (más néven auth) porton hallgat, és ha kap egy kérdést (kábé 12345, 25 tartalmú lesz), begyűjti a netstat -pe infót (meg ls -l /proc/PID, meg amit még jónak látsz) és visszaad bármit (vagy semmit). Ha inetd-vel oldod meg, első közelítésben egy shell script is megteszi (vagyis ne az inetd beépített auth szolgáltatását használd, nem arra van szükséged). -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-20 12:13 keltezéssel, Ferenc Wagner írta: Első körben azt nézd meg, hogy az SMTP szerveredet (a szomszéd gépet) rá tudod-e beszélni, hogy futtasson ident lekérdezést (esetleg csak a szóban forgó email címre). Épp erről van, ehhez keresem az Általad javasolt progit, de csak ilyenek vannak: hidentd, widentd, didentd, ident2, stb. Mindegyik fake reply, random replies, stb-ről szól. Ha igen, akkor írsz egy programot, ami az ident (más néven auth) porton hallgat, és ha kap egy kérdést (kábé 12345, 25 tartalmú lesz), begyűjti a netstat -pe infót (meg ls -l /proc/PID, meg amit még jónak látsz) és visszaad bármit (vagy semmit). Azt akarod mondani, hogy az egyik gépen futó és adott porton hallgató program lekérdezi a másik gépen futó netstat -pe infót? Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Erről beszélsz? http://en.wikipedia.org/wiki/Ident Köszi: P. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: 2011-12-20 12:13 keltezéssel, Ferenc Wagner írta: Első körben azt nézd meg, hogy az SMTP szerveredet (a szomszéd gépet) rá tudod-e beszélni, hogy futtasson ident lekérdezést (esetleg csak a szóban forgó email címre). Épp erről van, ehhez keresem az Általad javasolt progit, de csak ilyenek vannak: hidentd, widentd, didentd, ident2, stb. Mindegyik fake reply, random replies, stb-ről szól. Ezek ident szerverek, amelyek az ident lekérdezésre így vagy úgy válaszolni hivatottak. Neked első lépésben arra van szükséged, hogy a szomszéd gépen futó MTA ident *kliensként* viselkedjen, vagyis ha X gép TCP kapcsolatot nyit felé, akkor visszakérdezzen az X gép ident szolgáltatására, hogy melyik user nyitotta ezt a kapcsolatot. A Debian default MTA-ja (Exim) a default konfiggal ezt megteszi, mások vagy megteszik, vagy nem (ez többnyire konfiguráció kérdése). Ha igen, akkor írsz egy programot, ami az ident (más néven auth) porton hallgat, és ha kap egy kérdést (kábé 12345, 25 tartalmú lesz), begyűjti a netstat -pe infót (meg ls -l /proc/PID, meg amit még jónak látsz) és visszaad bármit (vagy semmit). Azt akarod mondani, hogy az egyik gépen futó és adott porton hallgató program lekérdezi a másik gépen futó netstat -pe infót? Nem, lásd fent. Az ident tranzakcióban a kliens/szerver szerepek megcserélődnek: az SMTP kliens az ident szerver, az SMTP szerver az ident kliens. Ez biztosítja, hogy az SMTP kapcsolat fennálljon, így a kezdeményezője azonosítható legyen az ident tranzakció idején, ugyanis az SMTP szerver nem veszi át a levelet, amíg az ident lekérdezésre (már ha konfigurálva volt) nem kapott választ (vagy timeoutot). Nem inkább helyben kéne ilyet lekérdezni, ahonnan a levelet küldik? Pontosan ez a terv. A netstat -pe infót az ident szerver (ami nagyjából kamu, és te írod) kérdezi le, amikor a szomszéd gép SMTP szervere visszahívja. Persze, hogy végül mit válaszol, az mindegy: a lényeg, hogy logolja a netstat -pe megfelelő sorát. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: http://en.wikipedia.org/wiki/Ident Igen, RFC 1413, ahogy egy korábbi leveledben magad is írtad. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/20/2011 11:27 AM, Laborczi Pál wrote: 2011-12-20 09:39 keltezéssel, Ferenc Wagner írta: De továbbra is azt gondolom, hogy rosszul fogod meg a problémát: nem pörögni kellene, hanem a TCP kapcsolat megnyitásakor visszakérdezni identtel. Rendben, meggyőztél. De ha lehet, egy kicsit bővebben, mert freebsd-ről van szó. Telepítve nincs ilyen csomag, a leírások meg ilyeneket tartalmaznak, hogy: An RFC1413 identification server which also supports random replies. Magyarán nem igazán tudom, melyik program kellene define(`confTO_IDENT', `5s') _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-17 10:03 keltezéssel, Zs írta: Hali! Az ötleteket fölhasználva a követkző született: Az iptables-be beraktam egy sort --dport 25 -j LOG opcióval, tehát bárki bárhova megnyit egy smtp portot, a naplóban keletkezik nem is egy sor. Ajánlanám a következő bővítést a szabályban: -m state --state NEW Köszi, jó ötlet. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-16 18:05 keltezéssel, Attila Rajmund Nohl írta: Jut eszembe, az nem járható út, hogy tcpdump-pal figyeled, milyen levelek mennek ki a 25-ös porton és akkor a levél tartamából kiderül, hogy mi küldözgeti? Maga a levél megvan, tehát ez fölösleges lépés. a címzett ridethe...@gmail.com, amit az MTA nem enged át, ezért vissza a feladónak, az pedig a root, így én kapom meg. A tartalma semmitmondó. A hajmeresztő az, hogy egy nem túl régen telepített gép, és a root nevében valami levelet küldözget. Mintha vírusos lenne a gép. Egy linux! Most nem jönnek a levelek, azaz eleddig hiába állok lesbe. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011/12/19 Laborczi Pál lp...@pse.siemens.hu: 2011-12-16 18:05 keltezéssel, Attila Rajmund Nohl írta: Jut eszembe, az nem járható út, hogy tcpdump-pal figyeled, milyen levelek mennek ki a 25-ös porton és akkor a levél tartamából kiderül, hogy mi küldözgeti? Maga a levél megvan, tehát ez fölösleges lépés. a címzett ridethe...@gmail.com, amit az MTA nem enged át, ezért vissza a feladónak, az pedig a root, így én kapom meg. A tartalma semmitmondó. Aha. Esetleg lehetne egy olyan parancsot kiadni, hogy for i in /usr/sbin/*; do strings $i | grep ridethefog echo $i; done Hátha megtalálja a binárist, amiben ott van az e-mail cím. Persze ez csak gyenge próbálkozás, lehet, hogy jobban elrejti a címet... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011-12-19 16:32 keltezéssel, Attila Rajmund Nohl írta: for i in/usr/sbin/*; do strings $i | grep ridethefog echo $i; done Nincs találat. De nagyobb hiba, hogy a lesbeálló program elégtelen sebességgel működik. Ha a for ciklust sleep 1 nélkül futtatom, közel 100%-ra megterheli a CPU-t. Létezik 1 sec alatti késleltetés? _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál írta: 2011-12-19 16:32 keltezéssel, Attila Rajmund Nohl írta: for i in/usr/sbin/*; do strings $i | grep ridethefog echo $i; done Nincs találat. De nagyobb hiba, hogy a lesbeálló program elégtelen sebességgel működik. Ha a for ciklust sleep 1 nélkül futtatom, közel 100%-ra megterheli a CPU-t. Létezik 1 sec alatti késleltetés? Van c függvényben usleep, ahol mikrosec-es várakozási időt adhatsz meg. Írhatsz egy pici c programot erre, ha még nem lenne.. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Hali! Az ötleteket fölhasználva a követkző született: Az iptables-be beraktam egy sort --dport 25 -j LOG opcióval, tehát bárki bárhova megnyit egy smtp portot, a naplóban keletkezik nem is egy sor. Ajánlanám a következő bővítést a szabályban: -m state --state NEW Ez csak az első, kapcsolat létre hozását kérő csomagot naplózza. Ahhoz, hogy kiderüljön: ki, honnan, hova, ahhoz elég, a többi adatforgalomhoz tartozó csomag már nem naplózódik. Üdv Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Ferenc Wagner wf...@niif.hu writes: Laborczi Pál lp...@pse.siemens.hu writes: Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma efféle tevékenységnek. Hogy' lehet elkapni egy ilyen nem kívánatos programot. Az op.rendszer Centos. Ha a gépet nem valami féreg rágja, hanem üzemszerűen működik, akkor az identd pont erre való (remélhetőleg a túloldalon figyelő MTA tud identd lekérdezést csinálni). Egy másik lehetőség az iptables -j LOG, ami elárulja legalább a PID-et Nem a PID-et, hanem az UID-ot, és csak ha megadod a --log-uid opciót is. illetve a -j QUEUE, ha el akarod csípni magát a küldő processzt. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On Thu, Dec 15, 2011 at 04:02:08PM +0100, Laborczi Pál wrote: Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. Lehet azert van, mert mar kilepett csak nem zarta le rendesen a kapcsolatot v hasonlo? Probalj meg vegtelen ciklusban shell script-bol nezegetni es ha meglatod netstat-tal es nem kotojel, akkor irasd ki, es ha lehet akkor /proc/pid/ tartalmara egy ls -l is legyen azonnal, akkor ott van benne pl az exe nevu link, meg hasonlok. Meg amugy iptables-szel is lehet probalkozni pl --log-uid akkor lesz vmi info hogy melyik uid neveben ment a kerdeses tema. Plusz, a netstat-hoz: ugye rootkent mondtad? Mert imho/afaik userkent nem feltetlenul irja ki. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Az ötleteket fölhasználva a követkző született: Az iptables-be beraktam egy sort --dport 25 -j LOG opcióval, tehát bárki bárhova megnyit egy smtp portot, a naplóban keletkezik nem is egy sor. Majd írtam egy perl scriptet, amely a tail -f-hez hasonlóan lesi az új sorokat, és ha a megfelelő sor jön, akkor lefuttatja netstat-ot, kivágom az utolsó mezőt, majd annak segítségével a ps kimenetét meg-grep-pelem - szép kimagyar beszéd :) -, az eredménye pedig gyűlik egy állományban. Most lesbe áll a program, másodpercenkénti ugrással. Köszönöm a segítséget. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu írta (2011. december 16. 18:01): Az ötleteket fölhasználva a követkző született: Az iptables-be beraktam egy sort --dport 25 -j LOG opcióval, tehát bárki bárhova megnyit egy smtp portot, a naplóban keletkezik nem is egy sor. Majd írtam egy perl scriptet, amely a tail -f-hez hasonlóan lesi az új sorokat, és ha a megfelelő sor jön, akkor lefuttatja netstat-ot, kivágom az utolsó mezőt, majd annak segítségével a ps kimenetét meg-grep-pelem - szép kimagyar beszéd :) -, az eredménye pedig gyűlik egy állományban. Most lesbe áll a program, másodpercenkénti ugrással. Köszönöm a segítséget. Jut eszembe, az nem járható út, hogy tcpdump-pal figyeled, milyen levelek mennek ki a 25-ös porton és akkor a levél tartamából kiderül, hogy mi küldözgeti? _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Mi küldi a levelet?
Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma efféle tevékenységnek. Hogy' lehet elkapni egy ilyen nem kívánatos programot. Az op.rendszer Centos. Köszi: Pali. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
2011.12.15. 16:02 keltezéssel, Laborczi Pál írta: Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. Iptbles? -m owner: a csomagot küldő folyamat UID, GID, PID, SID (session ID) értékei, ill. a processz neve alapján illeszt -- k-atti- _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
On 12/15/2011 04:02 PM, Laborczi Pál wrote: Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik [] Hogy' lehet elkapni egy ilyen nem kívánatos programot. Auditd? _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál lp...@pse.siemens.hu writes: Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma efféle tevékenységnek. Hogy' lehet elkapni egy ilyen nem kívánatos programot. Az op.rendszer Centos. Ha a gépet nem valami féreg rágja, hanem üzemszerűen működik, akkor az identd pont erre való (remélhetőleg a túloldalon figyelő MTA tud identd lekérdezést csinálni). Egy másik lehetőség az iptables -j LOG, ami elárulja legalább a PID-et, illetve a -j QUEUE, ha el akarod csípni magát a küldő processzt. -- Feri. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: Mi küldi a levelet?
Laborczi Pál wrote: gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name mezőben csak egy kötőjel (-) van. Iptbles? -m owner: a csomagot küldő folyamat UID, GID, PID, SID (session ID) értékei, ill. a processz neve alapján illeszt Ezt nem értem. Épp azt keressük, nem, amit a userid helyére kéne írnom? --uid-owner userid Matches if the packet was created by a process with the given effective user id. Csinálhatsz pár száz átengedő szabályt, minden ismert UID-ra egyet-egyet. Aztán a csomagszám-statisztika megmondja, hogy melyik lépett életbe. g -- E-mail = m-mail * c-mail ^ 2 _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux