Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On 5/22/2010 3:19 AM, Yudhi Kusnanto wrote: On Fri, 21 May 2010, Hari Hendaryanto wrote: Jadi trojan kirim email langsung ke server tujuan berdasarkan data email. Dia bisa lookup ini email address, mail servernya apa. [hapus...] betul betul betul, DROP aja port 25 di gateway :) di smtp server nya sendiri don't trust any IP coming from LAN, semua harus pakai SMTP AUTH. tidak bisa semudah itu! skenario-nya kurang lebih seperti ini: - Kita menyediakan layanan webmail, yang bisa diakses dari internet. - Layanan webmail ini merupakan 'trusted source' oleh SMTP server. - Semua akses ke port 25 ditutup, kecuali menggunakan SMTP Auth (relay) atau terima email untuk lokal mailbox. - Ada klien dari internet akses ke webmail dan kirim email menggunakan layanan tersebut (authenticated). Pertanyaan 1: Apakah email ini akan ditolak oleh SMTP server? TIDAK betul, tapi yg saya bicarakan di atas case kalo ada infected pc di dalam LAN. bukan akses email dari luar :) - blok alamat IP yang bermasalah (lihat log-akses webmail), bisa pada layanan webmailnya atau gateway (blacklist). salam ini yg biasanya saya lakukan, merestrict ip yg boleh mengakses webmail pak, biasanya saya cuma memblok akses webmail dari semua negara kecuali dari indonesia.(pakai goip modules). yg sering saya liat di log, ip2 dari luar semua yg mencoba bruteforce pop3/imap/smtp auth(non webmail), saya pakai fail2ban untuk case ini, dan lumayan efektif. menurut saya tidak ada metode yg 100% ampuh dalam hal ini.semua ada kekurangan dan kelebihan. wassalam -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Sun, May 23, 2010 at 01:49:48PM +0700, Hari Hendaryanto wrote: ini yg biasanya saya lakukan, merestrict ip yg boleh mengakses webmail pak, biasanya saya cuma memblok akses webmail dari semua negara kecuali dari indonesia.(pakai goip modules). yg sering saya liat di log, ip2 dari luar semua yg mencoba bruteforce pop3/imap/smtp auth(non webmail), saya pakai fail2ban untuk case ini, dan lumayan efektif. Kalau mau pakai iptables bisa dengan module ipt_recent ini bisa membatasi koneksi baru dan bisa buat blok akses dr ip tersebut ke semua port atau port yg dibrute force atau connlimit hanya membatasi syn connection. $ wc -l /proc/net/ipt_recent/blacklist 16 /proc/net/ipt_recent/blacklist Port smtp auth pasti beda port smtp biasa kan ? -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Sun, May 23, 2010 at 04:23:54PM +, Arief Yudhawarman wrote: Kalau mau pakai iptables bisa dengan module ipt_recent ini bisa membatasi koneksi baru dan bisa buat blok akses dr ip tersebut ke semua port atau port yg dibrute force atau connlimit hanya membatasi syn connection. Ups sori. Hanya memblok akses ke port yg dibrute force (ngelamun kalo linux bisa seperti mikrotik dengan firewall anti brute-force ssh passwords :) http://www.e18.physik.tu-muenchen.de/~tnagel/ipt_recent/ -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Sun, 23 May 2010, Hari Hendaryanto wrote: On 5/22/2010 3:19 AM, Yudhi Kusnanto wrote: On Fri, 21 May 2010, Hari Hendaryanto wrote: betul, tapi yg saya bicarakan di atas case kalo ada infected pc di dalam LAN. bukan akses email dari luar :) PC ini akses kemana? port SMTP? webmail? - blok alamat IP yang bermasalah (lihat log-akses webmail), bisa pada layanan webmailnya atau gateway (blacklist). salam ini yg biasanya saya lakukan, merestrict ip yg boleh mengakses webmail pak, biasanya saya cuma memblok akses webmail dari semua negara kecuali dari indonesia.(pakai goip modules). yg sering saya liat di log, ip2 dari luar semua yg mencoba bruteforce pop3/imap/smtp auth(non webmail), saya pakai fail2ban untuk case ini, dan lumayan efektif. menurut saya tidak ada metode yg 100% ampuh dalam hal ini.semua ada kekurangan dan kelebihan. benar sekali! oleh karena itu perlu kita pastikan masalah dan tujuan/goal penanganannya. -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Sun, 23 May 2010, Arief Yudhawarman wrote: Port smtp auth pasti beda port smtp biasa kan ? port-nya sama, yang beda kalo pake SSL (SMTPS) salam -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
465 -Original Message- From: yu...@akakom.ac.id Sent: Mon, 24 May 2010 02:13:21 +0700 (WIT) To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail On Sun, 23 May 2010, Arief Yudhawarman wrote: Port smtp auth pasti beda port smtp biasa kan ? port-nya sama, yang beda kalo pake SSL (SMTPS) salam -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
tidak usah di tutup port 25nya. Menggunakan SNORT juga sudah bisa. dengan catatan sebagai gateway. Gratis. -Original Message- From: yu...@akakom.ac.id Sent: Sat, 22 May 2010 03:19:25 +0700 (WIT) To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail On Fri, 21 May 2010, Hari Hendaryanto wrote: Jadi trojan kirim email langsung ke server tujuan berdasarkan data email. Dia bisa lookup ini email address, mail servernya apa. [hapus...] betul betul betul, DROP aja port 25 di gateway :) di smtp server nya sendiri don't trust any IP coming from LAN, semua harus pakai SMTP AUTH. tidak bisa semudah itu! skenario-nya kurang lebih seperti ini: - Kita menyediakan layanan webmail, yang bisa diakses dari internet. - Layanan webmail ini merupakan 'trusted source' oleh SMTP server. - Semua akses ke port 25 ditutup, kecuali menggunakan SMTP Auth (relay) atau terima email untuk lokal mailbox. - Ada klien dari internet akses ke webmail dan kirim email menggunakan layanan tersebut (authenticated). Pertanyaan 1: Apakah email ini akan ditolak oleh SMTP server? TIDAK - ada akoun webmail yang loginID mudah ditebak (relative). - akoun tersebut dimanfaatkan oleh spam bot untuk kirim email melalui layanan webmail (authenticated juga). Pertanyaan 2: Apakah email ini juga akan ditolak oleh SMTP server? TIDAK biasanya password webmail merupakan password mailbox dan SMTP Auth, sehingga bila sudah bisa login ke webmail maka akan bisa kirim email juga (meskipun SMTP server di set pake SMTP Auth) Pertanyaan 3: Bagaimana mencegah/mengatasinya? Beberapa cara, seperti: - Mempersulit login oleh spambot, namun cukup sederhana bagi manusia. misalnya dengan membuat password yang sulit ditebak dan menambahkan fungsi CAPTCHA (meskipun tidak 100% efektif). - Membuat variabel $username dan $password pada login-form tidak statis melainkan berubah-ubah dan uniq. Auth-engine akan mencocokan variabel ini berdasarkan sessionID dengan yang ada di server. - blok alamat IP yang bermasalah (lihat log-akses webmail), bisa pada layanan webmailnya atau gateway (blacklist). salam -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop! Check it out at http://www.inbox.com/earth -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
Yudhi Kusnanto wrote: coba ganti password dengan yang lebih 'strength' misal kombinasi huruf besar/kecil, angka, tanda baca, minimal 10 karakter dll. nb. saya pernah mengalami ini pada squirrelmail, solusinya ganti password dengan yang lebih sulit di-brute-force plus untuk pencegahan saya tambahkan CAPTCHA. Kesimpulannya berarti Emmm ini bukan soal openwebmail atau squirrelmail atau apa pun ya. Ini perkara keamanan sosial :) Bakal lebih asik kalau judulnya diganti: Jangan sembarangan pilih passwd :D -- KM -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
Ini sejenis trojan phising yang mengambil daftar alamat email dari outlook maupun outlook express. bahkan dari cookiespun dia bisa ambil alamat emailnya. yang paling sering kena yaitu sistem Operasi Microsoft, percuma menggunakan SMTP Authentication, dia hanya mengambil alamat email saja dan mengirimkan secara massal email email tersebut seperti VIAGRA, atau Pharma online. Cara pengendaliannya hanya menggunakan firewall single layer maupun double layer di sisi network dan di sisi PC Client menggunakan Antivirus untuk Internet. Di Microsoft sendiri untuk firewall ada yang namanya forefront dan TMG, :)', Celestix menggunakan produk Microsoft Windows 2008 sebagai Basis sistem Operasi Firewallnya. Untuk Linux sendiri banyak firewall seperti Endian dan Untangle yang bisa di install. Atau Astaro. Seharusnya judul diatas seperti ini Perlu atau tidaknya Firewall/UTM sebagai pelindung Network di suatu perusahaan. -Original Message- From: ka...@ckm.co.id Sent: Fri, 21 May 2010 13:43:21 +0700 To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail Yudhi Kusnanto wrote: coba ganti password dengan yang lebih 'strength' misal kombinasi huruf besar/kecil, angka, tanda baca, minimal 10 karakter dll. nb. saya pernah mengalami ini pada squirrelmail, solusinya ganti password dengan yang lebih sulit di-brute-force plus untuk pencegahan saya tambahkan CAPTCHA. Kesimpulannya berarti Emmm ini bukan soal openwebmail atau squirrelmail atau apa pun ya. Ini perkara keamanan sosial :) Bakal lebih asik kalau judulnya diganti: Jangan sembarangan pilih passwd :D -- KM -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis Send your photos by email in seconds... TRY FREE IM TOOLPACK at http://www.imtoolpack.com/default.aspx?rc=if3 Works in all emails, instant messengers, blogs, forums and social networks. -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Thu, May 20, 2010 at 11:40:15PM -0800, lindu cipta wrote: Ini sejenis trojan phising yang mengambil daftar alamat email dari outlook maupun outlook express. bahkan dari cookiespun dia bisa ambil alamat emailnya. yang paling sering kena yaitu sistem Operasi Microsoft, percuma menggunakan SMTP Authentication, dia hanya mengambil alamat email saja dan mengirimkan secara massal email email tersebut seperti VIAGRA, atau Pharma online. APakah trojan ini dompleng outlook pas kirim email atau dia bisa kirim sendiri? Kalau bisa kirim sendiri bagaimana dia bisa ambil data username password untuk autentikasi ke smtp server? -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
bukan dompleng lebih tepat melihat sejenis cache dan email contact, trojan bisa melihat file outlook email address dan secara otomatis upload, untuk kirim email tidak dibutuhkan smtp user authentification hanya dibutuhkan internet biasa. Coba cari di planetsourcecode.com mengenai php mail , cara kerjanya mirip seperti itu. Kalau di sisi user hanya bisa kirim email ke Server tanpa internet berarti kemungkinan aman 80 % belum termasuk spamm dan virus lewat email ya... :( tapi kalau dengan internet si user yang tidak dijaga oleh firewall/UTM/XTM/TMG sejenis gateway untuk lewat trafic internet maka kemungkinan aman 20 % dan itupun sudah dijaga oleh antivirus. silahkan cari di google mengenai websense dan UTM Opensource, saya juga belajar dari situ. -Original Message- From: arief.mi...@jember.net Sent: Fri, 21 May 2010 08:19:10 + To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail On Thu, May 20, 2010 at 11:40:15PM -0800, lindu cipta wrote: Ini sejenis trojan phising yang mengambil daftar alamat email dari outlook maupun outlook express. bahkan dari cookiespun dia bisa ambil alamat emailnya. yang paling sering kena yaitu sistem Operasi Microsoft, percuma menggunakan SMTP Authentication, dia hanya mengambil alamat email saja dan mengirimkan secara massal email email tersebut seperti VIAGRA, atau Pharma online. APakah trojan ini dompleng outlook pas kirim email atau dia bisa kirim sendiri? Kalau bisa kirim sendiri bagaimana dia bisa ambil data username password untuk autentikasi ke smtp server? -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®, Google Talk™ and most webmails -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Fri, May 21, 2010 at 12:47:46AM -0800, lindu cipta wrote: bukan dompleng lebih tepat melihat sejenis cache dan email contact, trojan bisa melihat file outlook email address dan secara otomatis upload, untuk kirim email tidak dibutuhkan smtp user authentification hanya dibutuhkan internet biasa. Coba cari di planetsourcecode.com mengenai php mail , cara kerjanya mirip seperti itu. Kalau di sisi user hanya bisa kirim email ke Server tanpa internet berarti kemungkinan aman 80 % belum termasuk spamm dan virus lewat email ya... :( tapi kalau dengan internet si user yang tidak dijaga oleh firewall/UTM/XTM/TMG sejenis gateway untuk lewat trafic internet maka kemungkinan aman 20 % dan itupun sudah dijaga oleh antivirus. silahkan cari di google mengenai websense dan UTM Opensource, saya juga belajar dari situ. Jadi trojan kirim email langsung ke server tujuan berdasarkan data email. Dia bisa lookup ini email address, mail servernya apa. Di sisi firewall kalau ingin aman biasanya forwarding ke port 25 di DROP. Hal ini juga mencegah ip publik user dimasukkan ke blacklist oleh spamhaus atau rbl apabila ip ini sering dipakai trojan untuk kirim email spam/virus keluar. -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
ko jawaban nya kaya ga nyambung ya... - Original Message - From: lindu cipta li...@inbox.com To: tanya-jawab@linux.or.id; tanya-jawab@linux.or.id Sent: Friday, May 21, 2010 3:47 PM Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail bukan dompleng lebih tepat melihat sejenis cache dan email contact, trojan bisa melihat file outlook email address dan secara otomatis upload, untuk kirim email tidak dibutuhkan smtp user authentification hanya dibutuhkan internet biasa. Coba cari di planetsourcecode.com mengenai php mail , cara kerjanya mirip seperti itu. Kalau di sisi user hanya bisa kirim email ke Server tanpa internet berarti kemungkinan aman 80 % belum termasuk spamm dan virus lewat email ya... :( tapi kalau dengan internet si user yang tidak dijaga oleh firewall/UTM/XTM/TMG sejenis gateway untuk lewat trafic internet maka kemungkinan aman 20 % dan itupun sudah dijaga oleh antivirus. silahkan cari di google mengenai websense dan UTM Opensource, saya juga belajar dari situ. -Original Message- From: arief.mi...@jember.net Sent: Fri, 21 May 2010 08:19:10 + To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail On Thu, May 20, 2010 at 11:40:15PM -0800, lindu cipta wrote: Ini sejenis trojan phising yang mengambil daftar alamat email dari outlook maupun outlook express. bahkan dari cookiespun dia bisa ambil alamat emailnya. yang paling sering kena yaitu sistem Operasi Microsoft, percuma menggunakan SMTP Authentication, dia hanya mengambil alamat email saja dan mengirimkan secara massal email email tersebut seperti VIAGRA, atau Pharma online. APakah trojan ini dompleng outlook pas kirim email atau dia bisa kirim sendiri? Kalau bisa kirim sendiri bagaimana dia bisa ambil data username password untuk autentikasi ke smtp server? -- Arief Yudhawarman http://awarmanf.wordpress.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis GET FREE SMILEYS FOR YOUR IM EMAIL - Learn more at http://www.inbox.com/smileys Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®, Google Talk™ and most webmails -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
Jadi trojan kirim email langsung ke server tujuan berdasarkan data email. Dia bisa lookup ini email address, mail servernya apa. Di sisi firewall kalau ingin aman biasanya forwarding ke port 25 di DROP. Hal ini juga mencegah ip publik user dimasukkan ke blacklist oleh spamhaus atau rbl apabila ip ini sering dipakai trojan untuk kirim email spam/virus keluar. betul betul betul, DROP aja port 25 di gateway :) di smtp server nya sendiri don't trust any IP coming from LAN, semua harus pakai SMTP AUTH. PT.CITRA SARI MAKMUR SATELLITE TERRESTRIAL NETWORK Connecting the distance - anytime, anywhere, any content http://www.csmcom.com -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
salam maaf thread ini jadi membingungkan buat saya, apakah user mengirimkan email dari email client atau webmail (dilihat dari lognya sepertinya dari webmail ya ?), yang kedua apakah user tersebut authenticated atau tidak ? mungkin bisa dianalisis dari situ wassalam ic Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 -- Imam Cartealy Linux registered user #481374 Surat elektronik ini bersifat rahasia dan bisa berisikan informasi yang bersifat pribadi. Anda tidak diperkenankan untuk menggandakan, menggunakan ataupun mengungkapkan surat elektronik ini dalam bentuk apapun kepada siapapun. Penggunaan ataupun penyebaran surat elektronik ini dalam bentuk apapun kepada pihak lain adalah diluar tanggung jawab penulis. Surat elektronik ini termasuk tambahan yang diikutkan dalam surat elektronik ini ditujukan hanya untuk penerima. Jika Anda bukan orang yang dimaksudkan oleh penulis sebagai penerima surat elektronik ini, Anda tidak diperbolehkan untuk mengambil tindakan apapun terhadap surat elektronik ini dan menunjukkannya kepada siapapun. Jika Anda menerima surat elektronik ini karena kesalahan, mohon beritahukan penulis dan segera menghapusnya. -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
message - trying to connect to smtp server 127.0.0.1:25 Artinya dia mereload pc sendiri untuk port 25. berarti di pcnya dia ada Trojannya bos. cari di google maksudnya 127.0.0.1 kalau saya pernah dapat 127.0.0.2 , Aneh kan ... :) -Original Message- From: carte...@yahoo.co.id Sent: Fri, 21 May 2010 19:19:03 +0700 To: tanya-jawab@linux.or.id Subject: Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail salam maaf thread ini jadi membingungkan buat saya, apakah user mengirimkan email dari email client atau webmail (dilihat dari lognya sepertinya dari webmail ya ?), yang kedua apakah user tersebut authenticated atau tidak ? mungkin bisa dianalisis dari situ wassalam ic Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 -- Imam Cartealy Linux registered user #481374 Surat elektronik ini bersifat rahasia dan bisa berisikan informasi yang bersifat pribadi. Anda tidak diperkenankan untuk menggandakan, menggunakan ataupun mengungkapkan surat elektronik ini dalam bentuk apapun kepada siapapun. Penggunaan ataupun penyebaran surat elektronik ini dalam bentuk apapun kepada pihak lain adalah diluar tanggung jawab penulis. Surat elektronik ini termasuk tambahan yang diikutkan dalam surat elektronik ini ditujukan hanya untuk penerima. Jika Anda bukan orang yang dimaksudkan oleh penulis sebagai penerima surat elektronik ini, Anda tidak diperbolehkan untuk mengambil tindakan apapun terhadap surat elektronik ini dan menunjukkannya kepada siapapun. Jika Anda menerima surat elektronik ini karena kesalahan, mohon beritahukan penulis dan segera menghapusnya. -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis Send your photos by email in seconds... TRY FREE IM TOOLPACK at http://www.imtoolpack.com/default.aspx?rc=if3 Works in all emails, instant messengers, blogs, forums and social networks. -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Fri, 21 May 2010, Hari Hendaryanto wrote: Jadi trojan kirim email langsung ke server tujuan berdasarkan data email. Dia bisa lookup ini email address, mail servernya apa. [hapus...] betul betul betul, DROP aja port 25 di gateway :) di smtp server nya sendiri don't trust any IP coming from LAN, semua harus pakai SMTP AUTH. tidak bisa semudah itu! skenario-nya kurang lebih seperti ini: - Kita menyediakan layanan webmail, yang bisa diakses dari internet. - Layanan webmail ini merupakan 'trusted source' oleh SMTP server. - Semua akses ke port 25 ditutup, kecuali menggunakan SMTP Auth (relay) atau terima email untuk lokal mailbox. - Ada klien dari internet akses ke webmail dan kirim email menggunakan layanan tersebut (authenticated). Pertanyaan 1: Apakah email ini akan ditolak oleh SMTP server? TIDAK - ada akoun webmail yang loginID mudah ditebak (relative). - akoun tersebut dimanfaatkan oleh spam bot untuk kirim email melalui layanan webmail (authenticated juga). Pertanyaan 2: Apakah email ini juga akan ditolak oleh SMTP server? TIDAK biasanya password webmail merupakan password mailbox dan SMTP Auth, sehingga bila sudah bisa login ke webmail maka akan bisa kirim email juga (meskipun SMTP server di set pake SMTP Auth) Pertanyaan 3: Bagaimana mencegah/mengatasinya? Beberapa cara, seperti: - Mempersulit login oleh spambot, namun cukup sederhana bagi manusia. misalnya dengan membuat password yang sulit ditebak dan menambahkan fungsi CAPTCHA (meskipun tidak 100% efektif). - Membuat variabel $username dan $password pada login-form tidak statis melainkan berubah-ubah dan uniq. Auth-engine akan mencocokan variabel ini berdasarkan sessionID dengan yang ada di server. - blok alamat IP yang bermasalah (lihat log-akses webmail), bisa pada layanan webmailnya atau gateway (blacklist). salam -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Thu, 20 May 2010, Samuel Sappa wrote: 2010/5/20 avudz avud...@gmail.com: 2010/5/19 Samuel Sappa cihuy...@gmail.com: +++ saya juga bingung, kok yang disalahin openwebmail nya ? tapi bukti detil nya tidak ada ? Sebelumnya terima kasih buat replynya, ini cuma asumsi saya (IMHO) kalo saya lihat di log openwebmailnya dia banyak kirim ke banyak alamat email entah bagaimana dia bisa dapet user accountnya dan mengirimkan email ke banyak orang coba ganti password dengan yang lebih 'strength' misal kombinasi huruf besar/kecil, angka, tanda baca, minimal 10 karakter dll. tambahkan juga fasilistas CAPTCHA pada halaman login. matikan fasilitas 'cookie based auth' selama pelacakan. salam nb. saya pernah mengalami ini pada squirrelmail, solusinya ganti password dengan yang lebih sulit di-brute-force plus untuk pencegahan saya tambahkan CAPTCHA. -- |===[ Yudhi Kusnanto ]=| |===[ STMIK Akakom ]===| -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
[tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
Cuma mau berbagi saja teman2, hati2 kalo memakai openwebmail, punya saya di bajak orang dan oleh dia dipakai buat pakai kirim spam, hal ini terjadi karena saya heran postfixnya sudah saya batasi parameter mynetworknya (awalnya saya curiga ini) tapi saya udah batasin, tetap saja masih tembus. Yang bikin saya tambah bingung lagi dari mana dia dapat list user2 saya, saya masih cari celah dari mana dia bisa masuk. Kalo saya googling emang ada software buat hack openwebmail mungkin dari antara teman bisa berbagi pengalaman cari mencari celah dalam mesin kita saya sedang mengubek2 log cuma bingung mau mulai dari mana -- Regards Samuel Sappa, -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
2010/5/19 Samuel Sappa cihuy...@gmail.com: Cuma mau berbagi saja teman2, hati2 kalo memakai openwebmail, punya saya di bajak orang dan oleh dia dipakai buat pakai kirim spam, hal ini terjadi karena saya heran postfixnya sudah saya batasi parameter mynetworknya (awalnya saya curiga ini) tapi saya udah batasin, tetap saja masih tembus. Yang bikin saya tambah bingung lagi dari mana dia dapat list user2 saya, saya masih cari celah dari mana dia bisa masuk. Kalo saya googling emang ada software buat hack openwebmail mungkin dari antara teman bisa berbagi pengalaman cari mencari celah dalam mesin kita saya sedang mengubek2 log cuma bingung mau mulai dari mana +++ saya juga bingung, kok yang disalahin openwebmail nya ? tapi bukti detil nya tidak ada ? -avd -- a mac lover : http://acehmacclub.org a worker http://alifia.co.id -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
2010/5/20 avudz avud...@gmail.com: 2010/5/19 Samuel Sappa cihuy...@gmail.com: +++ saya juga bingung, kok yang disalahin openwebmail nya ? tapi bukti detil nya tidak ada ? Sebelumnya terima kasih buat replynya, ini cuma asumsi saya (IMHO) kalo saya lihat di log openwebmailnya dia banyak kirim ke banyak alamat email entah bagaimana dia bisa dapet user accountnya dan mengirimkan email ke banyak orang Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - subject=CONFIRM YOUR WINNING NOTICE (2010) - bcc=totasilv...@yahoo.com, csi...@first am.com, charma...@prtc.net, elisa.si...@citigroup.com, fsilv...@yahoo.com, jerch...@ptdprolog.net, janesilva...@yahoo.com, isi...@hawaii.rr.com, juancho...@cox.net, kmx a...@hotmail.com, ju...@efixnet.com, missy11...@cox.net, moana96...@hotmail.com, r...@la213.com, p...@silva-faria.com, pjsthisnt...@tds.net, rui.si...@centauro.pt, rubysi l...@juno.com, yosethsilva1...@yahoo.com, yvcantu2...@yahoo.com, zu...@prw.net, carlosilval...@latinmail.com, carlosilval...@yahoo.com, jus1wah...@iglide.net, ioanasilva n...@yahoo.com, andidgiveup4e...@netscape.net, asilve...@landam.com, maria.silve...@sympatico.ca, portuguese_pi...@yahoo.com, rloro1...@yahoo.com, silveira...@yahoo.com, clarivaldosilve...@ig.com.br, mfsilve...@comcast.net, d...@theimaginepartners.com, hsil...@dgecorp.com, js589...@wcupa.edu, leeann.sil...@alcoa.com, kill6cops6de...@aim. com, airjordan1...@netscape.net, cwsil...@up.net, dhsilv...@cox.net, lsil...@trccomputing.com, n...@studentaidadministrators.com, nomad0...@yahoo.com, ste...@mydoitbest .com, msil...@s3execs.com, rllo...@yahoo.com, r.silv...@verizon.net, silvera_sil...@yahoo.com, silsilverammvkvl...@cs.com, silve...@ar-digit.net, silverfam...@optonline .net, ang0...@verizon.net, dcsil...@localnet.com, italianprincess...@verizon.net, lag...@comcast.net, lindalo...@yahoo.com, mi...@mitchsilver.com, matt.sil...@cogeco.ca , quetta27...@yahoo.com, dre_3...@yahoo.com, rsilv...@rogers.com, d...@silveraweb.com, edbe...@juno.com, souffle...@yahoo.com, sfinto...@cs.com, adelkrb...@comcast.net, sue_silver...@msn.com, wynneand...@yahoo.com, bobsilver...@verizon.net, nebahat_silver...@yahoo.com, vze26...@verizon.net, dav...@the-known-universe.com, lori.silverman @pulte.com, r@verizon.net, silverring...@sbcglobal.net, silv...@comcast.net, berniec...@bellsouth.net, drdro...@yahoo.com, g...@mnav.com, jan...@nauticom.net, silver liningphotogra...@yahoo.com, dsilvern...@potomachills.com, ssilvern...@usa.com, rik...@optonline.net, cdga...@frontiernet.net, ssilv...@woh.rr.com, mcdoc...@dam.net, ms ilv...@greenwoodgrp.com, silve...@bellsouth.net, silverado5...@juno.com, tsilv...@austin.rr.com, lmsilversm...@froniternet.net, ltlleonesmo...@yahoo.com, aicra...@yahoo .com Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 Wed May 19 21:37:25 2010 - [12552] (217.21.79.85) samuel.sappa - send message - subject=CONFIRM YOUR WINNING NOTICE (2010) - bcc=kensi...@cbsihawaii.com, amh...@yah oo.com, cookie.si...@sbcglobal.net, jsi...@consolidated.net, olry...@comcast.net, di...@autocolorinc.com, goleaf...@yahoo.com, ssi...@hot.rr.com, sunshine1...@earthlink .net, psik...@xs4all.nl, hiking...@charter.net, psikli...@yahoo.ca, esi...@sio.midco.net, cnicety...@yahoo.com, lexus1...@mac.com, wlogl...@cvzoom.net, dikun...@zoomint ernet.net, kkisikora_...@yahoo.com, just...@adelphia.net, ltsik...@charter.net, papada...@verizon.net, robsik...@msn.com, jmsja...@wmconnect.com, run22...@yahoo.com, mo nicasikor...@hotmail.com, sikor...@onebox.com, sikor...@yahoo.com, jrla...@verizon.net, neveragain1...@yahoo.com, ivet...@yahoo.com, siku...@marshall.edu, alu...@wmconn ect.com, msikw...@yahoo.com, helensiky...@yahoo.com, silf...@verizon.net, spo...@elm-insurance.com, sjc...@yahoo.com, vinni...@hughes.net, mari...@sssnet.com, nsilaghi@ openwebmail.log lines 1417-1426/1465 97% sedangkan kalo saya tracepath ipnya 217.21.79.85 dia mengarah keluar negeri (eropa ?), sepengetahuam saya sih tidak ada user yang yang mengakses webmail dari eropa. kalo saya googling emang ada sih program yang buat hack openwebmail, dimasukkin keyword hack openwebmail nanti banyak yang muncul, sekali lagi ini cuma asumsi saya aja sih, mungkin juga dia masuk dari celah yang lain tapi belum saya dapet mungkin ada rekan2 yang mau berbagi pengalamannya ? itu saja dari saya atas perhatiannya saya ucapkan banyak terima kasih -- Regards Samuel Sappa, -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke
Re: [tanya-jawab] [Tanya-Jawab]Hati2 memakai openwebmail
On Thu, May 20, 2010 at 10:21 AM, Samuel Sappa cihuy...@gmail.com wrote: 2010/5/20 avudz avud...@gmail.com: 2010/5/19 Samuel Sappa cihuy...@gmail.com: +++ saya juga bingung, kok yang disalahin openwebmail nya ? tapi bukti detil nya tidak ada ? Sebelumnya terima kasih buat replynya, ini cuma asumsi saya (IMHO) kalo saya lihat di log openwebmailnya dia banyak kirim ke banyak alamat email entah bagaimana dia bisa dapet user accountnya dan mengirimkan email ke banyak orang Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - trying to connect to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - connected to smtp server 127.0.0.1:25 Wed May 19 21:37:15 2010 - [12538] (217.21.79.85) samuel.sappa - send message - subject=CONFIRM YOUR WINNING NOTICE (2010) - bcc=totasilv...@yahoo.com, csi...@first am.com, charma...@prtc.net, elisa.si...@citigroup.com, fsilv...@yahoo.com, jerch...@ptdprolog.net, janesilva...@yahoo.com, sedangkan kalo saya tracepath ipnya 217.21.79.85 dia mengarah keluar negeri (eropa ?), sepengetahuam saya sih tidak ada user yang yang mengakses webmail dari eropa. kalo saya googling emang ada sih program yang buat hack openwebmail, dimasukkin keyword hack openwebmail nanti banyak yang muncul, sekali lagi ini cuma asumsi saya aja sih, mungkin juga dia masuk dari celah yang lain tapi belum saya dapet mungkin ada rekan2 yang mau berbagi pengalamannya ? ini postfix-nya pakai smtp-auth? Kemungkinannya account samuel.sappa ini menggunakan password yang lemah, dan sudah di-bruteforce oleh spammer di ip 217.21.79.85, sehingga bisa dipakai u/ akses relay outgoing email via smtp server Kemungkinan lain, ada security hole di openwebmail yang memungkinkan XSS attack, menjadikan openwebmail u/ akses relay outgoing. -- tunggul -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
