PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Brauche Hilfe zur Absicherung eines Servers!



pmnicky
28.10.2002, 06:27
Hallo,
habe eben festgestellt, dass einer unserer Server (nicht von mir konfiguriert) bereits mehrmals für Spamming missbraucht wurde (überwiegend Amis).
Leider habe ich nicht das nötige Knowhow um das Teil wieder möglichst dicht zu machen.
Wer kennt sich aus und könnte mir ggf. etwas helfen (Wichtige Tipps & Tricks, Anleitungen etc...?)
Schonmal danke !
pmnicky

cycomate
28.10.2002, 10:09
Wenn Du mir jetzt noch sagt, um welchen MTA es sich handelt, dann kann ich Dir vielleicht weiterhelfen.
Übrigens wäre auch die Art des Mißbrauchs von Interesse - offener relay? Angeblicher lokaler MAIL FROM?

___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

pmnicky
28.10.2002, 19:06
Moin,
also es ist ein Win2k Server.
Witzigerweise läuft darauf gar kein Mailserver - allerdings war/ist vermutlich das MS SMTP Relay offen
(laut http://ordb.org/).
Der Server ist jetzt noch in weiteren Open Relay Datenbanken verzeichnet. Ich hab den SMTP-Dienst
jetzt mal deaktiviert - wie kann ich testen ob der Server jetzt "sauber" ist ?

cycomate
28.10.2002, 19:25
Also mit Windoze Kisten kenne ich mich nicht so aus (und bin der Meinung, daß "Windoze" und "Server" ein Oxymoron bilden), aber testen kannst Du es, indem Du Dich auf eine andere Kiste einloggst, und versuchst, von außen a) port 25 Deines W2k Servers (Oxymoron) anzusprechen und b) im Erfolgsfall eine email abzusetzen. Etwa wie folgt:
telnet DeineWin2kKiste 25
Trying 111.222.123.123...
Connected to Deine.win2k.kiste.
Escape character is `^]`.
220 Ich bin ein Windoze Rechner.
helo schlagmichtot.org
250 Willkommen schlagmichtot. Ich bin ein Windoze Rechner. Hab ich das schon erwähnt?
mail from:relaytest [at] microsoft.com
250 Ok
rcpt to:relayrecipient [at] microsoft.com
250 OK <- wenn er dies hier an dieser Stelle meldet, hast Du zu 95% ein offenes relay
data
354 End data with <CR><LF>.<CR><LF>
Ich bin ein kleines Monsterschwein und stinke vor mich hin,
will recht grimm und grauslich sein, bis ich ein großes bin.
- Michael Ende
.
250 Ok: queued as ABC4711 <- wenn Du bis hierhin kommst und Du ein Ok bekommst, hast verloren.
quit
221 Bye
Connection closed by foreign host.

___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

DocSnyder
29.10.2002, 01:05
> also es ist ein Win2k Server.
> Witzigerweise läuft darauf gar kein Mailserver - allerdings war/ist vermutlich das MS SMTP Relay offen
D. h. das SMTP-Relay eines W2K-Bugs ist per Default nicht nur aktiv, sondern noch dazu offen wie ein Scheunentor? Und so ein Ding traut sich jemand ans Netz zu hängen?
Ich traue dem Redmond-Imperium zwar viel zu, aber so viel auch wieder nicht. Irgendeine Software hast Du bestimmt installiert und "pro forma" aktiv geschaltet, ohne zu bemerken, dass Du dabei ein offenes Relay in die Welt setzt. Besonders anfällig sind übrigens E-Mail-Virenscanner, welche eingehende E-Mails kontrollieren und dabei auf Port 25 lauschen. Viele dieser Virenscanner sind per Default offene Relays.
BTW: muss der Server eigentlich unbedingt unter Windoze laufen? Noch nie GNU/Linux ausprobiert? ;-)
/.
DocSnyder.