/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Open Proxy
Fra : Andreas Lorensen


Dato : 26-06-06 17:54

Hej

Har knoklet hos en kunde for at finde ud af hvorfor TDC har lukket for
mail (via pasmtp). Begrundelsen er som jeg ser det fordi CSIRT mener at
hans server er en Open Proxy.
Det kan jeg nu ikke rigtigt se - og det uanset hvordan jeg tester.

Uheldigvis så har TDC CSIRT tilsyneladende ferielukket så der kan jeg
ikke hente mere info for begrundelsen for lukningen. Så er det jeg må
spørge her i gruppen, for her er helt sikkert en der er klogere end jeg ;)


I mailloggen læser jeg følgende:

Jun 26 00:45:36 asgaard postfix/smtp[30187]: 65038352AB:
to=<xxxxxx@xxxx.com>, relay=pasmtp.tele.dk[80.160.77.108], delay=0,
status=bounced (host pasmtp.tele.dk[80.160.77.108] said: 554 Service
unavailable; Client host [80.198.XXX.XXX] blocked using rbl.tdk.net;
http://tdc.mail.dk/rbl/ - Access denied: Open proxy. Call: +45 89459638
(in reply to RCPT TO command))

Ved at gå på http://tdc.mail.dk/rbl/ så er der ikke meget mere informtion.

Så hva kan jeg gøre?


MvH

/Andreas

 
 
Bjarke Andersen (26-06-2006)
Kommentar
Fra : Bjarke Andersen


Dato : 26-06-06 18:14

Andreas Lorensen <andlo@sodemarn.dk> crashed Echelon writing
news:44A01137.3030901@sodemarn.dk:

> Jun 26 00:45:36 asgaard postfix/smtp[30187]: 65038352AB:
> to=<xxxxxx@xxxx.com>, relay=pasmtp.tele.dk[80.160.77.108], delay=0,
> status=bounced (host pasmtp.tele.dk[80.160.77.108] said: 554 Service
> unavailable; Client host [80.198.XXX.XXX] blocked using rbl.tdk.net;
> http://tdc.mail.dk/rbl/ - Access denied: Open proxy. Call: +45
> 89459638 (in reply to RCPT TO command))

Kører maskinen andet end mail? Proxyserver er normal en gateway til
internet, så hvis maskinen osse bruges til brugeres internet adgang ligger
problemet muligvis her.

Open Proxy servere kan bruges af folk på internettet som springbræt videre.
Dvs hvis din kundes proxy server ikke er beskyttet kan folk bruge den til
at komme videre ud på internettet og være skjult bag din kundes IP-adresse.

Dette kan fx. bruges til at sende spam, foretage hacker og andre typer
angreb, hvor det er din kunde som vil stå som afsender af dataene.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

Andreas Lorensen (26-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 26-06-06 18:38

Bjarke Andersen skrev:
>
> Kører maskinen andet end mail? Proxyserver er normal en gateway til
> internet, så hvis maskinen osse bruges til brugeres internet adgang ligger
> problemet muligvis her.
>
Ja den hoster nogle sites o noget mail.

> Open Proxy servere kan bruges af folk på internettet som springbræt videre.
> Dvs hvis din kundes proxy server ikke er beskyttet kan folk bruge den til
> at komme videre ud på internettet og være skjult bag din kundes IP-adresse.
>
> Dette kan fx. bruges til at sende spam, foretage hacker og andre typer
> angreb, hvor det er din kunde som vil stå som afsender af dataene.
>
Det er også hvad jeg har forstået - og jeg har testet med nogle mere
eller mindre troværdige Open Proxy checkere på internettet - alle meldte
at der ikke var noget.

/A

Bjarke Andersen (26-06-2006)
Kommentar
Fra : Bjarke Andersen


Dato : 26-06-06 21:54

Andreas Lorensen <andlo@sodemark.dk> crashed Echelon writing
news:44a01b65$0$13984$edfadb0f@dread15.news.tele.dk:

> Det er også hvad jeg har forstået - og jeg har testet med nogle mere
> eller mindre troværdige Open Proxy checkere på internettet - alle meldte
> at der ikke var noget.

Og bare for at være sikker, vi snakker open proxy checkere og ikke open
relay checkere?

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

Andreas Lorensen (26-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 26-06-06 22:20

Bjarke Andersen skrev:
>
> Og bare for at være sikker, vi snakker open proxy checkere og ikke open
> relay checkere?
>
Ja helt 100 - har faktisk brugt begge slagser for nu bare at være sikker.


Peter Makholm (26-06-2006)
Kommentar
Fra : Peter Makholm


Dato : 26-06-06 18:30

Andreas Lorensen <andlo@sodemarn.dk> writes:

> Har knoklet hos en kunde for at finde ud af hvorfor TDC har lukket for
> mail (via pasmtp). Begrundelsen er som jeg ser det fordi CSIRT mener
> at hans server er en Open Proxy.
> Det kan jeg nu ikke rigtigt se - og det uanset hvordan jeg tester.

Når du ikke skriver mere om hvad du har prøvet er det svært at hjælpe
dig til hvad du måske *ikke* har prøvet. Kører der en webserver på
IP-adressen og har du testet den?

Fejlen Open Proxy tyder på at det kunne være mod_proxy der er sat op
til at tillade at udefrakommende kan bruge webserveren som proxy. Så
kan de enten simpelthen forbinde sig til port 25 på en maskine med
CONNECT eller indlejre deres SMTP-data i en POST-request de "sender"
til http://mailserver:25/.

--
Peter Makholm | One thing you do is prevent good software from
peter@makholm.net | being written. Who can afford to do professional
http://hacking.dk | work for nothing?
| -- Bill Gates

Andreas Lorensen (26-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 26-06-06 18:43

Peter Makholm skrev:
>
> Når du ikke skriver mere om hvad du har prøvet er det svært at hjælpe
> dig til hvad du måske *ikke* har prøvet. Kører der en webserver på
> IP-adressen og har du testet den?
>
Ja - du har jo ret - jeg har kontrolleret firewallopsætning som det
første. Herefter kontrolleret for open mail relay samt open proxy vha
forskellige online værktøjer på nettet. De fandt intet.

> Fejlen Open Proxy tyder på at det kunne være mod_proxy der er sat op
> til at tillade at udefrakommende kan bruge webserveren som proxy. Så
> kan de enten simpelthen forbinde sig til port 25 på en maskine med
> CONNECT eller indlejre deres SMTP-data i en POST-request de "sender"
> til http://mailserver:25/.
>
Jeg vil da lige se efter mod_proxy i configurationsfilerne. Det lyder jo
som en god mulighed.

Har du en god måde at kontrollerere for dette problem ? en vejledning
eller lign ville være guld for mig.

/Andreas

Andreas Lorensen (26-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 26-06-06 18:51

Andreas Lorensen skrev:
> Jeg vil da lige se efter mod_proxy i configurationsfilerne. Det lyder jo
> som en god mulighed.
>
Kan ikke finde en eneste mod_proxy i nogle conf filer. Så det er nok
ikke det....desværre.

/A

Christian Joergensen (26-06-2006)
Kommentar
Fra : Christian Joergensen


Dato : 26-06-06 19:16

Andreas Lorensen <andlo@sodemark.dk> writes:

> Har du en god måde at kontrollerere for dette problem ? en vejledning
> eller lign ville være guld for mig.

Hvilke services koerer du ud mod Internettet?

--
Christian Joergensen | Linux, programming or web consultancy
http://www.razor.dk | Visit us at: http://www.gmta.info

Christian E. Lysel (26-06-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 26-06-06 22:39

On Mon, 2006-06-26 at 18:54 +0200, Andreas Lorensen wrote:
> Hej
>
> Har knoklet hos en kunde for at finde ud af hvorfor TDC har lukket for
> mail (via pasmtp). Begrundelsen er som jeg ser det fordi CSIRT mener at
> hans server er en Open Proxy.

Hvad siger netstat?

Hvad siger ps eller taskmanager?

Hvilket setup har kunden? Hvilken mailserver, firewall, webserver,
etcetera.

> Det kan jeg nu ikke rigtigt se - og det uanset hvordan jeg tester.
>
> Uheldigvis så har TDC CSIRT tilsyneladende ferielukket så der kan jeg

Prøv at ring 80808080, TDC reception.

> ikke hente mere info for begrundelsen for lukningen. Så er det jeg må
> spørge her i gruppen, for her er helt sikkert en der er klogere end jeg ;)

> I mailloggen læser jeg følgende:
>
> Jun 26 00:45:36 asgaard postfix/smtp[30187]: 65038352AB:
> to=<xxxxxx@xxxx.com>, relay=pasmtp.tele.dk[80.160.77.108], delay=0,
> status=bounced (host pasmtp.tele.dk[80.160.77.108] said: 554 Service
> unavailable; Client host [80.198.XXX.XXX] blocked using rbl.tdk.net;
> http://tdc.mail.dk/rbl/ - Access denied: Open proxy. Call: +45 89459638
> (in reply to RCPT TO command))
>
> Ved at gå på http://tdc.mail.dk/rbl/ så er der ikke meget mere informtion.
>
> Så hva kan jeg gøre?

Du skal have fat i TDC. Selvom du løser problemmet bliver du ikke
fjernet uden at tage kontakt til dem.

http://tdc.mail.dk/rbl/rbl_dk.shtml

Er du blevet henvist til denne side og mener du ikke du bør stå i TDC's
RBL, kan du skrive til TDC's postmaster på emailadressen
postmaster@abuse.mail.dk

Din henvendelse skal indeholde følgende info:
- Emne: rbl
- Årsagen til at du mener du skal fjernes fra listen.
- IP-adressen som er blokeret.
- Hvad har du foretaget dig for at udbedre fejlen.



Jeg ville nok skrive fra en adresse der virker :)


Andreas Lorensen (26-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 26-06-06 23:18

Christian E. Lysel skrev:
>
> Hvad siger netstat?
>
> Hvad siger ps eller taskmanager?
>
> Hvilket setup har kunden? Hvilken mailserver, firewall, webserver,
> etcetera.
>
Vender tilbage i morgen og ser mere på det der.....

>
> Prøv at ring 80808080, TDC reception.
>
Sjovt nok er det dem der oplyser mig at CSIRT har ferielukket men man
kan maile til dem.
det har kunden gjort, men har endnu ikke fået svar. Måske der dukker
noget op i morgen.

>
> Du skal have fat i TDC. Selvom du løser problemmet bliver du ikke
> fjernet uden at tage kontakt til dem.
>
> http://tdc.mail.dk/rbl/rbl_dk.shtml
>
ja men altså - de er ikke at træffe :( Og jeg vil jo også hels være
sikker på at problemet var fjernet inden der blev genåbnet. Og ville
gerne høre mere hvad den eksakte grund er til lukningen. Måske det ku
hjælpe til at lokalicere fejlen.

>
> Jeg ville nok skrive fra en adresse der virker :)
>
Hehe ja det giver sig selv ;)

Tak for indput til både dig og de andre. Jeg vender tilbage med en
beskrivelse af opsættet. I hovedtræk er det Suse 10.1, Apache2 og postfix.


MvH
/Andreas

Andreas Lorensen (27-06-2006)
Kommentar
Fra : Andreas Lorensen


Dato : 27-06-06 22:32

Andreas Lorensen skrev:
> Hej
>
> Har knoklet hos en kunde for at finde ud af hvorfor TDC har lukket for
> mail (via pasmtp). Begrundelsen er som jeg ser det fordi CSIRT mener at
> hans server er en Open Proxy.
> Det kan jeg nu ikke rigtigt se - og det uanset hvordan jeg tester.
>
Nu fandt jeg noget i apacheloggen - en suspekthed på mærkelige tider af
døgnet mod awstat.pl der udover at være placeret i cgi-bin havde
mærkelige rettigheder.
Den havde jeg heldigvis allerede flyttet, og efterfølgende kom der også
nogle post mod denne fil trods den ikke vr der længere. Jeg tror
virkelig det var der at problemet lå.

Nu vil jeg holde øje de næste par dage - dels med aktivitet fra den IP
jeg spottede ud, og dels mod aktvitet indeholdende POST.

Tak for hjælp indtil videre.

Kn lige tilføje, at TDC CSIRT stadig holder ferie, men lidt vedoldenhed
med TDC erhverv giver respons, og jeg fik kontakt til een der ku hjælpe.

/Anreas

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste