Groups | Search | Server Info | Login | Register
Groups > nl.comp.os.linux.techniek > #8963
| From | Paul van der Vlis <paul@vandervlis.nl> |
|---|---|
| Newsgroups | nl.comp.os.linux.techniek |
| Subject | Re: Hackers in Dovecot |
| Date | 2022-12-22 11:55 +0100 |
| Organization | A noiseless patient Spider |
| Message-ID | <to1d2i$1bmpt$1@dont-email.me> (permalink) |
| References | (1 earlier) <tnklgt$3m6a5$1@dont-email.me> <tnkm9j$3m6a5$2@dont-email.me> <tnnf61$3uun9$2@dont-email.me> <tnp8i8$7sed$1@dont-email.me> <tnugcr$vjfa$1@dont-email.me> |
Hallo Jaap, Op 21-12-2022 om 09:33 schreef Jaap: > Op 19-12-2022 om 09:49 schreef Paul van der Vlis: >> Op 18-12-2022 om 17:29 schreef Jaap: >>> Op 17-12-2022 om 16:12 schreef Paul van der Vlis: >>>> Op 17-12-2022 om 15:59 schreef Paul van der Vlis: >>>>> Op 16-12-2022 om 15:35 schreef Jaap: >>>>>> Ik zie in mijn logging nogal veel regels langskomen als: >>>>>> Desondanks gaan de hackpogingen door. Heeft iemand een goede tip >>>>>> voor mij? >>>>> >>>>> Blijkbaar doet je firewall het niet, anders zou dit niet kunnen. >>>>> >>>>> Kijk eens naar het resultaat met "iptables -n -L". >>>> >>> Daar lijkt alles goed dicht te staan. >> >> Alleen voor een bepaald interface, of voor alles ? Je zou wat met ons >> kunnen delen. > > Ik heb hier de output van iptables -nL > > > > Chain INPUT (policy ACCEPT) Wat je hiermee zegt is dat je alle input accepteert, tenzij je het in volgende regels expliciet weigert. Dat is geen goed idee, want je normaal doet is de policy op DROP zetten, en dan geef je daarna expliciet aan wat je wilt toestaan. Verder even geen reactie, want andere dingen houden me bezig. Groet, Paul > target prot opt source destination > f2b-apache-401 tcp -- 0.0.0.0/0 0.0.0.0/0 multiport > dports 80,443 > f2b-dovecot tcp -- 0.0.0.0/0 0.0.0.0/0 multiport > dports 0:65535 > f2b-postfix tcp -- 0.0.0.0/0 0.0.0.0/0 multiport > dports 25,465,587 > email tcp -- 0.0.0.0/0 0.0.0.0/0 > jaap tcp -- 0.0.0.0/0 0.0.0.0/0 > > Chain FORWARD (policy DROP) > target prot opt source destination > DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0 > DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0 0.0.0.0/0 > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate > RELATED,ESTABLISHED > DOCKER all -- 0.0.0.0/0 0.0.0.0/0 > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > Chain jaap (1 references) > target prot opt source destination > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 > ACCEPT all -- 172.16.0.0/12 0.0.0.0/0 > ACCEPT tcp -- 45.138.230.253 0.0.0.0/0 tcp > ACCEPT tcp -- 80.101.98.161 0.0.0.0/0 tcp > ACCEPT tcp -- 86.83.140.101 0.0.0.0/0 tcp > ACCEPT tcp -- 84.84.235.56 0.0.0.0/0 tcp > ACCEPT tcp -- 86.87.176.224 0.0.0.0/0 tcp > multiport dports 22,2003 > DROP all -- 60.160.0.0/11 0.0.0.0/0 > DROP all -- 60.208.0.0/13 0.0.0.0/0 > <enz, enz, vooral China, Brazilie etc> > DROP all -- 212.192.216.0/22 0.0.0.0/0 > DROP all -- 39.128.0.0/10 0.0.0.0/0 > DROP all -- 58.192.0.0/10 0.0.0.0/0 > ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp > multiport dports 25,80,443,587 > DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 > DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2003 > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate > RELATED,ESTABLISHED > DROP all -- 0.0.0.0/0 0.0.0.0/0 > > Chain DOCKER (1 references) > target prot opt source destination > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:8126 > ACCEPT udp -- 0.0.0.0/0 172.17.0.2 udp dpt:8125 > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2024 > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2023 > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2004 > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2003 > ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:80 > > Chain DOCKER-ISOLATION-STAGE-1 (1 references) > target prot opt source destination > DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0 > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > Chain DOCKER-USER (1 references) > target prot opt source destination > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > Chain emailx (0 references) > target prot opt source destination > > Chain email (1 references) > target prot opt source destination > ACCEPT tcp -- 31.161.128.0/18 0.0.0.0/0 tcp > multiport dports 993,995 > ACCEPT tcp -- 77.63.0.0/16 0.0.0.0/0 tcp > multiport dports 993,995 > ACCEPT tcp -- 83.232.0.0/18 0.0.0.0/0 tcp > multiport dports 993,995 > ACCEPT tcp -- 188.207.0.0/17 0.0.0.0/0 tcp > multiport dports 993,995 > ACCEPT tcp -- 45.83.6.0/23 0.0.0.0/0 tcp > multiport dports 993,995 > ACCEPT tcp -- 45.138.228.0/22 0.0.0.0/0 tcp > multiport dports 993,995 > > Chain f2b-postfix (1 references) > target prot opt source destination > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > Chain DOCKER-ISOLATION-STAGE-2 (1 references) > target prot opt source destination > DROP all -- 0.0.0.0/0 0.0.0.0/0 > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > Chain f2b-dovecot (1 references) > target prot opt source destination > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > Chain f2b-apache-401 (1 references) > target prot opt source destination > RETURN all -- 0.0.0.0/0 0.0.0.0/0 > > > >>>> Misschien is zoiets ook zinvol om te testen: https://portscan.io/ >>>> Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote >>>> machine. >>> >>> Mooie site, werkt goed. Geeft aan dat poort 110, 143, 993 en 995 >>> netjes dicht staan. Kennelijk staat er toch ergens iets anders open... >> >> Wat ik me nog kan voorstellen is: >> >> Aanvallen vanaf localhost. Dus dat ze al op je computer zitten op een >> andere manier. > Ik heb niets gemerkt, maar ja, dat zegt niet alles. Ik zou dan eerder > verwachten dat ik helemaal geen ip adressen zie. > >> >> Aanvallen via een ander IP, dus dat je computer meerdere IP's heeft. > Er is maar 1 IP adres op eno1: > 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN > group default qlen 1000 > link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 > inet 127.0.0.1/8 scope host lo > valid_lft forever preferred_lft forever > inet6 ::1/128 scope host > valid_lft forever preferred_lft forever > 2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast > state UP group default qlen 1000 > link/ether 4c:72:b9:66:ad:1d brd ff:ff:ff:ff:ff:ff > inet 178.32.217.177/24 brd 178.32.217.255 scope global dynamic eno1 > valid_lft 64574sec preferred_lft 64574sec > inet6 fe80::4e72:b9ff:fe66:ad1d/64 scope link > valid_lft forever preferred_lft forever > 3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue > state UP group default > link/ether 02:42:fb:9a:b4:b2 brd ff:ff:ff:ff:ff:ff > inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0 > valid_lft forever preferred_lft forever > inet6 fe80::42:fbff:fe9a:b4b2/64 scope link > valid_lft forever preferred_lft forever > 6765: veth17f46ab@if6764: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 > qdisc noqueue master docker0 state UP group default > link/ether 86:01:86:e7:82:01 brd ff:ff:ff:ff:ff:ff link-netnsid 0 > inet6 fe80::8401:86ff:fee7:8201/64 scope link > valid_lft forever preferred_lft forever > >> >> Aanvallen via iets wat je toestaat, dus bijvoorbeeld een lokaal >> netwerk. Een ander apparaat in je netwerk zou kunnen zijn gehacked. > Het is een server bij OVH, dus ik heb werkelijk geen idee wie er nog > meer op het netwerk zitten. Maar volgens mij komt zelfs iemand met een > IP adres 'naast' heb mijne niet naar binnen. > >> >> Wat ik zou gaan doen denk ik, is mijn firewall laten loggen. Ik heb >> van dit soort regeltjes in mijn firewall, vrij aan het begin: >> >> # chains maken voor loggen: >> $IPTABLES -N logdrop >> $IPTABLES -A logdrop -j LOG --log-level info --log-prefix "FW:" >> $IPTABLES -A logdrop -j DROP >> $IPTABLES -N logaccept >> $IPTABLES -A logaccept -j LOG --log-level info --log-prefix "FW:" >> $IPTABLES -A logaccept -j ACCEPT >> $IPTABLES -N logreject >> $IPTABLES -A logreject -j LOG --log-level info --log-prefix "FW:" >> $IPTABLES -A logreject -j REJECT >> > Dat ga ik nog even uitzoeken, vooral logaccept is in dit geval > natuurlijk interessant. > >> Als ik dan iets wil loggen verander ik b.v. "ACCEPT" in "logaccept" en >> dan logt hij dat. Misschien heb je er wat aan. >> >> Groet, >> Paul >> >> > -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl
Back to nl.comp.os.linux.techniek | Previous | Next — Previous in thread | Next in thread | Find similar
Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-16 15:35 +0100
Re: Hackers in Dovecot tjoen <tjoen@dds.invalid> - 2022-12-16 18:25 +0100
Re: Hackers in Dovecot Coen <newstrash1110@rosdorff.dyndns.org> - 2022-12-16 20:55 +0100
Re: Hackers in Dovecot Gijs Hillenius <gijs@hillenius.net> - 2022-12-17 08:37 +0100
Re: Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-18 17:09 +0100
Re: Hackers in Dovecot Paul van der Vlis <paul@vandervlis.nl> - 2022-12-17 15:59 +0100
Re: Hackers in Dovecot Paul van der Vlis <paul@vandervlis.nl> - 2022-12-17 16:12 +0100
Re: Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-18 17:29 +0100
Re: Hackers in Dovecot Paul van der Vlis <paul@vandervlis.nl> - 2022-12-19 09:49 +0100
Re: Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-21 09:33 +0100
Re: Hackers in Dovecot Coen <newstrash1110@rosdorff.dyndns.org> - 2022-12-21 19:59 +0100
Re: Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-25 11:35 +0100
Re: Hackers in Dovecot Paul van der Vlis <paul@vandervlis.nl> - 2022-12-22 11:55 +0100
Re: Hackers in Dovecot Jaap <jaap@example.com> - 2022-12-25 10:48 +0100
Re: Hackers in Dovecot Coen <newstrash1110@rosdorff.dyndns.org> - 2022-12-19 19:50 +0100
csiph-web