[Eisfair] Einbruch/Hack?

Marcus Röckrath marcus.roeckrath at gmx.de
So Sep 27 14:01:56 CEST 2020 

Hallo Stefan,

Stefan Heidrich wrote:

>  5 (127.0.0.1)[167.99.233.157] server at checking.net

Zu ideser Adresse fördert google einige Treffer zutage.

>       => mail.intersales.de[83.169.37.252] csclus.smtp at gmail.com
> 
> Das sind beides mir unbekannte Mailadressen.

Ist dein Mailserver also von außen erreichbar?

> Bei der Suche in /var/spool/exim/log/mainlog habe ich dazu folgendes
> finden müssen:
> 
> 2020-09-25 05:43:08 no host name found for IP address 167.99.233.157
> 2020-09-25 05:43:08 cram_server authenticator failed for (127.0.0.1)
> [167.99.233.157]: 535 Incorrect authentication data (set_id=advertisement)
> 2020-09-25 05:43:08 cram_server authenticator failed for (127.0.0.1)
> [167.99.233.157]: 535 Incorrect authentication data (set_id=associate)
> 2020-09-25 05:43:08 cram_server authenticator failed for (127.0.0.1)
> [167.99.233.157]: 535 Incorrect authentication data
> (set_id=\357\273\277accouting)

Solange der Mailserver von außen erreichbar ist, sind auch Einbruchsversuche
möglich.

> 2020-09-25 05:43:12 1kLedZ-00035u-OX H=(127.0.0.1) [167.99.233.157]
> Warning: This message exceeds the spam threshold (5.5 points) - passed
> 2020-09-25 05:43:12 1kLedZ-00035v-Oa <= server at checking.net
> H=(127.0.0.1) [167.99.233.157] P=esmtpa A=cram_server:ap S=1825
> 2020-09-25 05:43:12 1kLedZ-00035w-Oc <= server at checking.net
> H=(127.0.0.1) [167.99.233.157] P=esmtpa A=cram_server:ar S=1825
> 2020-09-25 05:43:12 1kLedZ-00035s-OP <= server at checking.net
> H=(127.0.0.1) [167.99.233.157] P=esmtpa A=cram_server:advertisement S=1836
> 2020-09-25 05:43:12 1kLedZ-00035u-OX <= server at checking.net
> H=(127.0.0.1) [167.99.233.157] P=esmtpa
> A=cram_server:\357\273\277accouting S=2162
> ...
> 2020-09-25 05:43:13 1kLedZ-00035w-Oc Completed
> 2020-09-25 05:43:13 1kLedZ-00035v-Oa Completed
> 2020-09-25 05:43:13 1kLedZ-00035u-OX Completed
> 2020-09-25 05:43:13 1kLedZ-00035s-OP Completed
> 2020-09-25 05:43:13 1kLedZ-00035t-OU => csclus.smtp at gmail.com
> 2020-09-25 05:43:13 1kLedZ-00035t-OU Completed

Die "Completed-Zeilen könnten darauf hindeuten, dass es gelungen ist, die
Mails über deinen Server zu verbreiten; demnach müsste der Login doch
gelungen sein.

> Bei der Passwortänderung sind mir folgende Accounts aufgefallen, die ein
> Passwort haben und sich damit auch zum Einloggen eignen:
> named, spam, ntp

Für ntp sollte das so aussehen:

eis # less /etc/passwd | grep ntp
ntp:x:499:206:Network Time Protocol:/home/ntp:/bin/false
eis # less /etc/shadow | grep ntp
ntp::17607::::::

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair