- Проблемы с sendmail,
 aurved, 01:19 , 26-Июл-14 (1) - Проблемы с sendmail, tuta, 06:21 , 26-Июл-14 (2)
- Проблемы с sendmail, qqq1, 09:51 , 26-Июл-14 (3)
- Проблемы с sendmail, PavelR, 13:22 , 26-Июл-14 (4)
- Проблемы с sendmail, aslanpetromail.ru, 09:55 , 27-Июл-14 (5)
>[оверквотинг удален]
>> мере в passwd и shadow такого пользователя нет.
>> Или пользователи прописаны еще где то могут быть?
>> Я попытался посмотреть его свойства а так же удалить его на что
>> система сказала что такого пользователя не существует. Что это может быть?
>> Как не существующий пользователь может соединиться с сервером и отправлять через
>> него почту? Единственное что я могу предположить что пользователя создают и
>> потом удаляют но тогда как же тогда сервер получил прова рута?
>> Или когда подсоединяешься к sendmail то можно из под не существующей учетной
>> записи?
> Вы с логикой дружите? Или фантастику любите читать?Я пытаюсь дружить с логикой. Но я ни как не могу понять как из под несуществующего пользователя могли залогиниться?
При чем самое интересное что я авторизацию по smtp не настраивал.
Так что я не понимаю как вообще возможно.
Объясните ,пожалуйста,как такая строчка появилась в логах.
Так как я уже всю голову сломал.
- Проблемы с sendmail, PavelR, 13:10 , 27-Июл-14 (6)
- Проблемы с sendmail, aslanpetromail.ru, 15:05 , 27-Июл-14 (7)
>[оверквотинг удален]
>> Я пытаюсь дружить с логикой. Но я ни как не могу понять
>> как из под несуществующего пользователя могли залогиниться?
> авторизация может быть и не через passwd/shadow.
>> При чем самое интересное что я авторизацию по smtp не настраивал.
> А вы настраивали сервер с нуля, самостоятельно?
>> Так что я не понимаю как вообще возможно.
>> Объясните ,пожалуйста,как такая строчка появилась в логах.
> Ну как-то возможно.. проверяется анализом конфигов и приветствия почтового сервера.
> telnet localhost 25 ; EHLO test и так далее.
>> Так как я уже всю голову сломал.А через что еще?
Я его настраивал под руководством более опытного товарища несколько лет назад. Человек сейчас ушел из данной области. И поэтому теперь его не попросить. Если бы не эта сутуация то я бы помог его мне помочь. А так мне приходиться самому с этим вопросом разбираться.
telnet localhost 25 ; EHLO test и так далее.
Я делал это, но все мои попытки кончались крахом так как логин и пароль пользователя мах не совпадали. И тем более его нет среди пользователей.
Я этот пароль уже в разных видах подсовывал(пароль как passwd написан и паротль в base64 zя все перепробовал. Я прочел кучу документации в инете по этому поводу) smtp а воз и ныне там. Но ничего не получается.
Авторизация может быть и не через passwd/shadow. А через что еще?
Авторизацию я не делал через smtp. Я делал для pop3.
- Проблемы с sendmail, PavelR, 19:58 , 27-Июл-14 (8)
- Проблемы с sendmail, aslanpetromail.ru, 21:42 , 27-Июл-14 (9)
>> telnet localhost 25 ; EHLO test и так далее.
>> Я делал это,
> А какую цель вы преследовали, когда это делали?Я делал команду telnet localhost 25 ; EHLO test
и так далее что бы проверить как проходит smtp авторризация.
То есть посмотреть что пишется в логах когда происходит авторизация.
То есть пробывал пройти по тому же пути как и меня взламли.
>> но все мои попытки кончались крахом так как логин
>> и пароль пользователя мах не совпадали. И тем более его нет
>> среди пользователей.
>> Я этот пароль уже в разных видах подсовывал(пароль как passwd написан и
>> паротль в base64 zя все перепробовал.
> Ну и формулировочки. Попробуйте выдохнуть и перечитать, что вы пишете.
> Допустим, они бы "совпали". Что бы вы дальше делали? Я бы сравнил что пишется когда в логи когда меня взламали и что пишется при моей попытке пройти тот же путь. Если бы получилось взломать то судя по документации в инете то получается что мой сервер стал открытым релеем. >>Я прочел кучу документации в инете по этому поводу) smtp а воз и ныне там.
> Какой документации? по какому поводу? Документации по поводу проверки открытого релея.
И по поводу как авторизироваться на smtp порт.
И до того времени когда вы подсказали команду telnet localhost 25 ; EHLO test
я ее выполнял.
Я и читал про авторизацию по smtp auth
И пытался повторить путь взома. Но ничего не получается. Я попытался авторизироваться под разными пользователями но это не привело ни к чему. >> Но ничего не получается.
> А что вы делаете?
>> Авторизация может быть и не через passwd/shadow. А через что еще?
> google://sendmail smtp auth
>> Авторизацию я не делал через smtp. Я делал для pop3.
> Повторяю еще раз: "telnet localhost 25 ; EHLO test и так далее."
> И там будет видно, делали вы "авторизацию через smtp" или нет.
- Проблемы с sendmail, PavelR, 10:51 , 28-Июл-14 (10)
- Проблемы с sendmail, aslanpetromail.ru, 11:45 , 28-Июл-14 (11)
> Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете,
> значит она настроена, верно?Вы правы что авторизация настраивалась по умолчанию то есть была настроена по умолчанию то есть по умолчанию в пакете sendmail была встроена smtp авторизация. Я начинаю вспоминать что человек который меня консультировал по поду настройки sendmail (почтового сервера)что то говорил про это. И еще похоже что когда настраиваешь почтовый сервер то если брать пакет sendmail по умолчанию то там по умолчанию smtp авторизация включена. От сюда вывод. Что у меня имелась и имеется smtp авторизация, но только я про нее забыл. И ни кто ею не пользовался. Но только я про нее забыл. Мне очень интересно что серверу уже около 10 лет и только сейчас народ в инете нашел мой сервер и нашел что у него имеется smtp авторизация. Если реальность не совпадает с ожиданиями/представлениями
> о ней - значит ваш сервер "взломан" и является "открытым, пусть
> и не для всех, релеем". По поводу маил релея я с вами не согласен так как я проверял разными интернет сервисами по поводу открытого релея и везде говорилось что мой сервер не открытый релей.
- Проблемы с sendmail, PavelR, 12:07 , 28-Июл-14 (13)
- Проблемы с sendmail, aslanpetromail.ru, 12:10 , 28-Июл-14 (14)
>> По поводу маил релея я с вами не согласен так как я
>> проверял разными интернет сервисами по поводу открытого релея и везде говорилось
>> что мой сервер не открытый релей.
> А я не согласен с вами, и что дальше?
> Я же написал - открытый, но не для всех.Подскажите, пожалуйста, как я могу попробовать пройти путем взлома.
Так как я не могу авторизироваться под юзером max?
Можно ли удалить этого юзера? - Проблемы с sendmail, PavelR, 12:11 , 28-Июл-14 (16)
- Проблемы с sendmail, qwertykma, 14:40 , 28-Июл-14 (19)
- Проблемы с sendmail, aslanpetromail.ru, 12:00 , 28-Июл-14 (12)
> Вы утверждали, что авторизация по SMTP не настраивалась, но вы её проверяете,
> значит она настроена, верно? Если реальность не совпадает с ожиданиями/представлениями
> о ней - значит ваш сервер "взломан" и является "открытым, пусть
> и не для всех, релеем".Я вспомнил что у меня имеется smtp авторизация. Как проверить ее работу?
Явно взлом шел от имени пользователя max. Как я могу попробовать пройти весь путь взлома?
Я пытался авторизироваться под именем max у себя на сервере. Но у меня ничего не получилось. Я пароль ему подсовывал в разных видах и в base64 и в других. В каком виде хранятся пароли в файле sasldb? Я могу каким то образом прочитать этот пароль из этого файла?
- Проблемы с sendmail, PavelR, 12:11 , 28-Июл-14 (15)
- Проблемы с sendmail, aslanpetromail.ru, 12:38 , 28-Июл-14 (17)
>[оверквотинг удален]
> Начинайте подбирать пароль. Найдите софт, или напишите сами.
> Только зачем это вам нужно, я не понимаю. Цель какая?
>> Я пытался авторизироваться под именем max у себя на сервере. Но у
>> меня ничего не получилось. Я пароль ему подсовывал в разных видах
>> и в base64 и в других. В каком виде хранятся пароли
>> в файле sasldb? Я могу каким то образом прочитать этот пароль
>> из этого файла?
> Я не пользовался возможностью хранения пользователей и их паролей в файле sasldb.
> Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно
> только перебором. Зачем вам пароль?Хорошо. Допустим что взломан. Мне хочется пройти весть путь для того что бы понять где дырка и что мне нужно сделать что бы этого не повторилось в будущем. Я понимаю что авторизация произошла через smtp авторизацию. Я не понимаю как хакер обнаружил этого единственного пользователя который заведен был sasldb для примера. Сколько хакеру понадобилось времени что бы перебрать всех пользователей (у меня пользователей около 100000) Если есть другой путь как понять причину взлома и что сделать что бы не повторилась эта история с сервером то скажите. Правильно ли я понимаю что:
В файле sasldb без рутового пароля не возможно ничего записать?
То есть был взломан рутовый пароль.
Для того что бы рутовый пароль был взломан нужно что была бы возможность зайти под пользователем (а у меня их более 10000) и только одного пользователя имеется во первых домашняя директория а во вторых имеет возможность стать рутом.
То есть был взломан обычный пользователь. - Проблемы с sendmail, PavelR, 13:51 , 28-Июл-14 (18)
- Проблемы с sendmail, aslanpetromail.ru, 17:37 , 28-Июл-14 (20)
>[оверквотинг удален]
>>> Вероятнее всего пароль там хранится в хешированном виде, получить значение пароля можно
>>> только перебором. Зачем вам пароль?
>> Хорошо. Допустим что взломан. Мне хочется пройти весть путь для того что
>> бы понять где дырка и что мне нужно сделать что бы
>> этого не повторилось в будущем. Я понимаю что авторизация произошла через
>> smtp авторизацию. Я не понимаю как хакер обнаружил этого единственного пользователя
>> который заведен был sasldb для примера.
> А что, "max" это такой уникальный логин, что его нельзя "угадать"? Вы
> вообще в логи смотрели? Там что, бац, одна попытка входа, сразу
> успешная, с отправкой 100500 писем?Не в этом дело. Сколько я не смотрел в логах нигде он (max)не проявлялся только судя по сему неделе две назад по крайней мере судя по логам. и эта учетная запись уже давно не используется (по крайней мере лет 5)так что поймать по идее ее не могли. Я правда недели две назад был на селигере в походе видишь ли ходил на байдарке видимо в мое отсутствие и взломали.
>> Сколько хакеру понадобилось времени что
>> бы перебрать всех пользователей (у меня пользователей около 100000)
> Повторю вопрос - В логи смотрели?
> К пользователю max пароли 12345 и 123456 пробовали? Логи смотрел и первая запись про max датируется примерно 2 неделе назад. >> Если есть другой путь как понять причину взлома и что сделать что бы
>> не повторилась эта история с сервером то скажите.
> Нужно смотреть и анализировать логи, смотреть историю изменений конфигурационных файлов,
> сравнивать содержимое БД и т д. Смотреть и анализировать. Нет ни какой бд насколько я понимаю только файл saslbd. И у меня подозрение что хакер добрался до этого файла и прочитал пароль. Поэтому и вопрос как можно прочитать парол\ь и этого файла не имея пароь рута? >[оверквотинг удален]
>> То есть был взломан рутовый пароль.
>> Для того что бы рутовый пароль был взломан нужно что была бы
>> возможность зайти под пользователем (а у меня их более 10000) и
>> только одного пользователя имеется во первых домашняя директория а во вторых
>> имеет возможность стать рутом.
>> То есть был взломан обычный пользователь.
> Поражаюсь вашей упертости и стремлению переусложнить видение ситуации.
> Если max - реальный пользователь вашей системы - не стоит исключать и
> варианта, что пароль доступа к почте был украден с его рабочей
> станции. Нет max не реальный пользователь его нет в passwd и он есть судя по сему только в sasldb.
Тем боле он не пользуется этим сервером лет 5. Я его завел около 5 лет назад но он им так и ни разу и не пользовался.
- Проблемы с sendmail, PavelR, 09:16 , 29-Июл-14 (21) +1
- Проблемы с sendmail, Аноним, 22:56 , 29-Июл-14 (22)
- Проблемы с sendmail, qqq1, 13:55 , 30-Июл-14 (23) –1
- Проблемы с sendmail, tuta, 20:23 , 30-Июл-14 (24)
|
Версия для распечатки
Проблемы с sendmail, 
