schattenhacker
Goto Top

Werden wir gehackt?

Guten Abend allerseits,

ich sehe im maillog des linus Servers dauernd solche Einträge:


Sep 8 20:30:52 ds80-237-157-109 pop3d: Connection, ip=[200.155.64.132]
Sep 8 20:30:57 ds80-237-157-109 pop3d: IMAP connect from @ [200.155.64.132]checkmailpasswd: FAILED: web3p2 - short names not allowed from @ [200.155.64.132]ERR: LOGIN FAILED, ip=[200.155.64.132]


die IP ist aus Brasilien. 200.155.64.132

Ich denke, das ist das normale Hintergrundrauschen, ich dachte mir, man könnte ja via der IP dem "Angreifer" eine Meldung senden, so :

Finger weg, Du Hammel, oder sinngemäß ähnliche Nachrichten.
Kann man bewerkstelligen?

Danke und Gruß Joachim

Content-ID: 190921

Url: https://administrator.de/forum/werden-wir-gehackt-190921.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 08.09.2012 aktualisiert um 21:03:30 Uhr
Goto Top
Ja,

Sag deinem IMAP-Server, das er als optinalen Text zu der Response das hinschreiben soll. Siehe auch RFC-3501.

Nachtrag. Eine ALERT-Response wäre z.B. das passende. face-smile


lks
maretz
maretz 08.09.2012 um 21:21:52 Uhr
Goto Top
Lohnt sich nicht - die skriptkiddys sind zu bloed um sowas zu verstehen...
Flatcher
Flatcher 08.09.2012 um 21:25:54 Uhr
Goto Top
Würd ich persönlich jetzt nicht allzu kritisch einstufen. Wenns mehr wird, müsste man sich etwas überlegen.
Hab mir einen Root Server gemietet bei einem Hoster - leider weiß ich nicht was mein Vorgänger mit dieser IP getan hat, jedenfalls hab ich am Tag zirka 200 Anmeldeversuche von Orte aus der ganzen Welt....
Ziemlich ärgerlich, weil die Hälfte des Logs aus diesen Abort´s besteht. Somit tut man sich relativ schwer, wenn man was sucht. ;)

lg
dog
dog 08.09.2012 um 21:51:29 Uhr
Goto Top
das ist das normale Hintergrundrauschen

Einfach ignorieren oder Software wie fail2ban benutzen um die IPs nach zu vielen Versuchen zu blocken.
mtdnet
mtdnet 09.09.2012 um 19:41:58 Uhr
Goto Top
Hallo,
obwohl dieser "Angriff" nicht schlimm ist würde ich mir Gedanken über die Passwort Komplexität machen.

Gruß
Mike
Sendmen
Sendmen 09.09.2012 um 23:40:26 Uhr
Goto Top
Hallo,

wie mein Vorposter schon schrieb ändere bitte die Passwörter regelmäßig ab. Und wenn ich es richtig sehe, nutzt Dein Webhoster oder Du selbst Confixx zumindest zu sehen an dem Benutzernamen. Daher bitte auch die anderen Zugangsdaten etwa zum Beispiel einmal im Monat ändern.

Ansonsten ist dieses Verhalten nicht auffällig sollte aber dennoch beobachtet werden, habe ich bei meinen Postfächern auch ab und wann.

Beste Grüße

Sendmen
jedi7650
jedi7650 10.09.2012 um 09:57:45 Uhr
Goto Top
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses" Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz machen (Meist die Firewall).

Grüße...
Max
mtdnet
mtdnet 10.09.2012 um 10:07:25 Uhr
Goto Top
Zitat von @jedi7650:
Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes "sinnloses"
Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle Lösung
wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins Netz
machen (Meist die Firewall).

Grüße...
Max

Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine Erfahrung)

Gruß
Mike
jedi7650
jedi7650 10.09.2012 um 10:12:57 Uhr
Goto Top
Zitat von @mtdnet:
> Zitat von @jedi7650:
> ----
> Kleiner Tip : setze einfach eine Route (je nach OS) z.B. 200.155.64.132 --> 127.0.0.1 oder ein anderes
"sinnloses"
> Ziel, dann kann diese IP (kannst auch das Subnetz adressieren) keinen "Schaden" anrichten. Professionelle
Lösung
> wäre direkt in der Firewall einen Eintrag machen oder wie angesprochen mit Fail2Ban (das kenne ich eher von
> SSH-Anmeldeversuchen) oder einem kleinen iptables-Eintrag. Ich persönlich würde es direkt am Eintrittspunkt ins
Netz
> machen (Meist die Firewall).
>
> Grüße...
> Max


Da hast du komplett Recht - ich würde das auch niemandem empfehlen außer er beobachten den Zugriff von ständig der gleichen IP. Dann empfehle ich wohl eher, mal das Subnetz des lokalen Providers herauszufinden (Ripe.net zeigt dir das Netz inklusive Subnetz-Maske) und dieses zu sperren. Sowas haben wir mal mit chinesischen Netzen gemacht und Schwupps, weg war die aktuelle Spam-Welle face-smile
Das mit dem Ruten setzten wird nicht viel bringen das sich die "Angreifer" IP's meist ändern. (so meine
Erfahrung)

Gruß
Mike
sky5000i
sky5000i 10.09.2012 um 14:58:50 Uhr
Goto Top
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!

Bis dann Sky face-smile
maretz
maretz 10.09.2012 um 15:01:09 Uhr
Goto Top
Zitat von @sky5000i:
Das sind einträge von Bots die deine Seiten Spidern....
wenn du das nicht möchtest dann solltest du deine .htaccess umschreiben!

Bis dann Sky face-smile

Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!?
Giovansimone
Giovansimone 10.09.2012 um 15:48:52 Uhr
Goto Top
Ist doch ein Linus Server.

Quelle Einleitung
viragomann
viragomann 10.09.2012 um 17:18:18 Uhr
Goto Top
Stell dir mal die Frage, ob dein Mailserver überhaupt via POP oder IMAP oder generell aus Brasilien erreicht werden muss.

Ich habe für unseren Server diese Frage mit "nein" beantwortet und eine pfsense Firewall mit der pfBlocker-Extension vorgeschaltet. Damit lassen sich sämtliche IP-Netze jedes einzelnen Landes sperren. Oder man sperrt einfach eine Auswahl aus den "Top Spammers", denen auch Brasilien angehört.
Ähnliche Funktionen bieten wohl auch andere FW-Lösungen. Andernfalls kannst du immer noch einzelne Netze sperren, doch da ist o.g. Lösung mit Fail2Ban komfortabler.

Grüße
maretz
maretz 10.09.2012 um 22:09:24 Uhr
Goto Top
Und was hat linux mit der ueberlegung zu tun das ipam/pop3 nix mit htaccess dateien anfangen koennen - da diese fuer webserver sind?
jedi7650
jedi7650 11.09.2012 um 00:43:45 Uhr
Goto Top
@maretz: ich denke die botschaft ist angekommen^^
schattenhacker
schattenhacker 13.09.2012 um 12:03:25 Uhr
Goto Top
Hallo,

auf dem Server ist z.B. eine Seite, die der AIDS Forschung dient und weltweit aufrufbar sein sollte. Auch kann ich ja einem Kunden nicht vorschreiben, aus welchen Ländern er Emails erhalten darf und von wo nicht. Einer handelt mit Autos, einer hat Leute, die in der Welt umherfliegen und vom Flughafen mal ein Mail senden möchten.
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.
Es ist ja kein Firmenserver, sondern einer mit Kunden.
Ich kann auch nicht in den Internetseiten rumpfuschen und deren htacess Dateien manipulieren, wenn es denn ginge...

HAbt Dank für Eure Tipps.
Lochkartenstanzer
Lochkartenstanzer 13.09.2012 um 12:08:23 Uhr
Goto Top
Zitat von @schattenhacker:
Das Thema mit den sicheren Passwörtern ist ja alt, aber ich habe keinen Zugriff auf die PW´s der Kunden und deren
intellektuellen Fähigkeiten, sich mal ein 8-stelliges zu merken.

Dafür gibt es tools. Und sei es, daß man einfach eine paßwort-Tester drauf losläßt und sobald der Erfolg hat, man dem User sagt, er muß es ändern.

lsk
schattenhacker
schattenhacker 13.09.2012 um 12:44:58 Uhr
Goto Top
was es alles gibt........ Hast Du da genauere Infos?

Danke
Lochkartenstanzer
Lochkartenstanzer 13.09.2012 aktualisiert um 13:07:33 Uhr
Goto Top
Zitat von @schattenhacker:
was es alles gibt........ Hast Du da genauere Infos?

Es gibt genügend Tools, die paßwörter wiederherstellen/erraten. Eine google-Suche führt da sehr schnell zum Ziel. Da diese tools Dual-Use-Güter sind, so ähnlich wie Uranstäbe, gibt es Forenregeln, die dieses Thema einschränken. Andere Foren sind da nicht ganz so restiktiv, die haben aber vielleicht mehr Geld um sich Anwälte zu leisten oder sind außerhalb der Jurisdiktion von DE. Daher kann ich Dich nur auf google verweisen.

lks
Giovansimone
Giovansimone 13.09.2012 um 18:36:16 Uhr
Goto Top
du schreibst ---> Es ist ja kein Firmenserver, sondern einer mit Kunden.
was ist es dann.

ich habe mir mal die mühe gemacht und habe die ip meinem firefox anvertraut. siehe da. ein recht ungesicherter apache webserver. ist sogar über ssh zu erreichen.

betreibst du zufälliger weise webmail auf diesem so unbekannten server?
maretz
maretz 14.09.2012 um 11:17:29 Uhr
Goto Top
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das er grade dein PW gehackt hat...

a) du bist froh und änderst das
b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit

Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay, Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!

Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an einen Server zu kommen!
Lochkartenstanzer
Lochkartenstanzer 14.09.2012 aktualisiert um 11:43:19 Uhr
Goto Top
Zitat von @maretz:
respekt - der tipp ist gut... Und jetzt überlege bitte mal was du machst wenn der Admin dich anruft und dir erklärt das
er grade dein PW gehackt hat...

Das ist falsch. Man macht das anders: Man hat eeine Betriebsvereinbarung und sagt den leuten, daß ein paßwortchecker läuft, und wenn die Ihre Paßwörter zu einfach wählen, der diese finden wird (schriftlich!) udn läßt die das auch abzeichenen. Und dann kan man anrufen udn sagen, daß der Paßwort-checker das Paßwort gefunden hat. Man kann das sogar so machen, daß keiner außer dem User das Paßwort erfährt.

a) du bist froh und änderst das

Ist dann die regel.

b) du sche***t den erstmal völlig zusammen was der sich einbildet und gehst ggf. sogar vor Gericht damit

Und fällt damit auf die Schnauze, wenn der Admin es richtig gemacht hat.


Nun - ich würde vermutlich zu b tendieren -> denn weisst DU ob die Person X nicht dasselbe PW für EBay,
Online-Banking, Amazon usw. verwendet? D.h. der Admin hätte jetzt den Vollzugriff auf alle diese Konten - klasse!

Dann ist der selber doof. Und wenn es eien Betriebsvereinbarung gibt (sollte es imerm geben), kann der sich aufregen soviel er will.

Von daher: Respektabler Tipp um seinen Job schnell loszuwerden und derart viel Ärger mit dem Gesetz zu bekommen das man die
nächsten Jahre auch gar nicht mehr überlegen muss wie man den Server schützt -> man hat nicht mehr die Option an
einen Server zu kommen!

Das passiert nur dann, wenn man seinen Job nicht richtig macht und die User nicht mit einbezieht.

lks

PS: Ich arbeite schon seit 18 Jahre in der IT-Security. Da habe ich schon manche Sachen erlebt.


Noch'n Nachtrag: OK, ich hätte das mit der Betriebsvereinbarung mit in den Tipp schreiben sollen. Aber ansonsten ist das eine Möglichkeit die User zu erziehen.
maretz
maretz 14.09.2012 um 13:09:26 Uhr
Goto Top
Hmm - würde mich interessieren ob jemand diese BV unterzeichnet... Also wenn mir jemand eine BV vorlegt bei der ich dem Admin faktisch erlaube meine Passwörter zu hacken dann wäre das unterzeichnen vermutlich eher nicht meine erste überlegung...
Lochkartenstanzer
Lochkartenstanzer 14.09.2012 um 16:17:32 Uhr
Goto Top
das ist nichts anderesa, als wenn der Admin die leute darauf hinweist, keine Paßwörter unter die Tastatur zu kleben und auch sagt, daß er regelmäßig nachschauen wird, ob da was ist. Und derjenige, der ein paßwort drunterklebt, bekomtm halt einen Anschiß.

Und geuanso bekommen die Leute gesagt, was daß sie ein vernuünfties Paßwort zu wählen habenm, daß nciht so leicht zu erraten ist. Du kannst zwar die Systeme anweisen, daß sie mindestkriterien prüfen, aber die Idioten sind erfinderisch und generieren trotzdem leicht zu erratende Paßworte. Und wenn man eine Prüfalgehrythmus laufen läßt, der diese "einfachen" Paßwörter duchrcheckt, ist das durchaus legitim.

Man mu vorhder die leute natüclich schulen, wie sie sichere paßwörter generieren udn natürlich die Paßwörter im Betrieb nicht auch für andere Accounts verwendet werden sollten. Udn wenn die Leute so dämlch sind, für facebook die gleichen Paßwörter zu verwenden wie für Ihren VPN-zugang in die Frma, wird es höchste Zeit diesen Leuten auf die Finger zu hauen.

lks


PS: Bei vernünftig gewählten Paßwörtern wird i.d.R. gar nichts passieren. Die meisten Fälle die mir untergekommen sind, sind wirklich zu einfach gewählte Paßwörter, die Trotz komlexitätsanfoderungen" zu leicht durch Wörterbuchattacken zu finden waren. Und die sind dann wirklich eine Gefahr für die unetrnehmenssicherheit.
Alchimedes
Alchimedes 14.09.2012 um 16:44:19 Uhr
Goto Top
Zitat von @maretz:
Hmm - würde mich interessieren ob jemand diese BV unterzeichnet...

hallo ,

wenn nicht, muessen Sie sich eine andere Firma suchen.

Solange klar ist was die Passwortrichtlinien angeht und die Benutzer
sich daran halten wird der Passwortchecker oder aehnliches
nichts knacken koennen.

Es geht ja darum die Mitarbeiter zu sensebelisieren..
Wenn die fuer Ihren Mailaccount nur Ihren Nachnamen als Passwort
benutzen und jede Welt darauf zugreifen kann, dann kann das fuer
das Unternehmen boese enden.

Gruss
schattenhacker
schattenhacker 17.09.2012 um 20:44:52 Uhr
Goto Top
Hallo,

ich hätte ja nicht gedacht, dass ich so eine Diskussion lostrete.
Ok was ich wollte: Ich habe eine IP, und statt denjenigen anzupingen ( was er gar nicht merkt ) im via ip eine Nachricht zukommen lassen.
Toll wäre ping ip "hör auf mich zu belatschern" -t

Grade versucht einer aus Russland mein Email zu hacken.

Gruß Jo
jedi7650
jedi7650 17.09.2012 um 20:59:04 Uhr
Goto Top
mit "hör auf mich zu belatschern" wirst du jeden spam-bot in die flucht treiben... not face-smile
sperr einfach die IP - oder verbiete generell icmp von extern.

Gruß...
Max
Alchimedes
Alchimedes 17.09.2012 um 21:15:10 Uhr
Goto Top
Hallo,

icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....

Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru

Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>


Gruss
schattenhacker
schattenhacker 17.09.2012 um 21:22:39 Uhr
Goto Top
Hallo,

nein ich wollte auch keinem einen Liebesbrief schreiben, mein Vokabular könnte auch anders lauten, der hört dann schon auf.......
Aber illegale Sachen wollte ich nicht machen.
jedi7650
jedi7650 17.09.2012 um 21:32:00 Uhr
Goto Top
Zitat von @Alchimedes:
Hallo,

icmp zu sperren bringt hier nichts.
Die Scan Tools fragen diverse Netzbereiche nach bestimmten Kriterien ab. Also z.B smpt... pop3 .. ssh ..
what ever.
Da der Mailserver auf smpt(oder pop3) Anfragen antwortet weiss der Angreifer das da ein Maildienst luebbt.
Jetzt muss er nur noch Userlisten und Passwortlisten auf den Server loslassen und irgendwann hat er einen Treffer.
Und schon gibt es eine Spambuechse mehr....

Was hilft:
Die Ip auf der Firewall sperren... fail2ban... den Provider anschreiben meisst irgend ein abuse@provider.ru

Dem Angreifer eine Nachricht via Ping zukommen lassen?? Da hilft wohl nur nen Botnetz und nen ping -f <attackerrechner>


Gruss

Generell stimmt das, in seinem Fall ist es eh zu spät, da wird nur noch eine IP-Sperre helfen...
Alchimedes
Alchimedes 17.09.2012 aktualisiert um 22:51:17 Uhr
Goto Top
Zitat von @schattenhacker:

nein ich wollte auch keinem einen Liebesbrief schreiben, mein Vokabular könnte auch anders lauten, der hört dann schon
auf.......


wieso nicht? ist vielleicht ne Superbraut aus Brasilien... face-smile
mit mega Ti.. ok ich hoer schon auf... face-smile

Wie Du am Anfang geschrieben hast ist es das typische Grundrauschen, leider fuehrt das immer wieder zum Erfolg.
Denn sonst wuerden die sowas nicht machen.

/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "

es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT

Wieder zurueck...
Loesung:
Du musst den (Mail)server abhaerten.
Wenn das ne z.B. eine Debian Buechse ist schaust Du hier:

http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#c ...

Und so eine Diskussion ist noetig damit einige mal auf den Prompt gebracht werden.

Gruss

Ergaenzung: Auf dem server von dem die Loginversuche gestartet wurden laueft nen Debian squeeze mit telnet !!


Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-17 22:12 CEST
Nmap scan report for static.datacenter1.com.br (200.155.64.132)
Host is up (0.23s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze2 (protocol 2.0)
| ssh-hostkey: 1024 02:05:03:b3:01:60:93:b9:46:6a:5a:af:e6:96:a4:3a (DSA)
|_2048 21:4b:eb:8e:31:80:be:0f:d8:3f:69:8f:07:d8:3a:4f (RSA)
23/tcp filtered telnet
80/tcp open http Apache httpd 2.2.16 ((Debian))
|_html-title: Site doesn't have a title (text/html).
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100003 2,3,4 2049/udp nfs
| 100005 1,2,3 35100/udp mountd
| 100021 1,3,4 43512/udp nlockmgr
| 100024 1 50308/udp status
| 100000 2 111/tcp rpcbind
| 100003 2,3,4 2049/tcp nfs
| 100005 1,2,3 42186/tcp mountd
| 100024 1 49290/tcp status
|_100021 1,3,4 60507/tcp nlockmgr
646/tcp filtered ldp
2049/tcp open rpcbind
Service Info: OS: Linux

und whois schmeisst uns folgendes raus:

% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2012-09-17 17:41:27 (BRT -03:00)

inetnum: 200.155.64/20
aut-num: AS16397
abuse-c: ABC204
owner: Alog-02 Soluções de Tecnologia em Informática S.A.
ownerid: 003.672.254/0001-44
responsible: Area de Engenharia - Alog
country: BR
owner-c: AEC81
tech-c: GRC66
inetrev: 200.155.64/20
nserver: ns1.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
nserver: ns3.datacenter1.com.br
nsstat: 20120917 AA
nslastaa: 20120917
created: 20011018
changed: 20040917

nic-hdl-br: ABC204
person: Abuse @ comDominio
e-mail: abuse@comdominio.com.br
created: 20030625
changed: 20100715

nic-hdl-br: AEC81
person: Area de Engenharia - comDominio
e-mail: registro@alog.com.br
created: 20020909
changed: 20120626

nic-hdl-br: GRC66
person: Gerencia de Redes - comDominio
e-mail: suportesp@alog.com.br
created: 20020909
changed: 20071226

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.


Hier hat nen Student/User aus Alog-02 Soluções de Tecnologia em Informática S.A. einen scan durchgefuehrt.

Also kannst Du Dich hier beschweren...


Gruss


P.S Telnet filtered ... das wollen wir doch mal sehen weil da koenntest Du Dich dann beschweren.. face-smile

Gruss
Lochkartenstanzer
Lochkartenstanzer 18.09.2012 um 10:59:49 Uhr
Goto Top
Zitat von @Alchimedes:

/OT {
@maretz "Und jetzt erkläre mir mal welcher BOT auf einem IMAP "spidert" - und vor allem welcher
POP3/IMAP-Server mit ner .htaccess was anfangen kann?!? "

es gibt Bots(sripte) die genau das machen. Machst nur ein Script mit nmap das die Maildienste abfragst verpackst das in ein Script
was dann loginversuche startet. Kein Hexenwerk selbst fuer Mausschubser gibt es Anleitungen.. ? } /OT

Wieder zurueck...

Die pöhsen Puben sind schon lange dabei, alle möglichen Ports zu "spidern" und Dabei sich in einer Datenbank zu merken, welche Software da hintendran lauscht, ggf sogar mit Version und Revision.

Sobald dann ein 0-day-exploit bekannt wird, sind die Gewehr bei Fuß und können innerhalb von Minuten tausende Maschinen kompromittieren.

lks