Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Carsten-2
Moin zusammen.

Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
"...
Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
16c13.w.time4vps.cloud[195.181.245.88]
Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
failed: Invalid authentication mechanism
Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
16c13.w.time4vps.cloud[195.181.245.88]
..."

Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
Im Netz finde ich jedoch nichts dazu.
Kann mir mal jemand auf die Sprünge helfen?

Gruss
Carsten
Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Denny Hanschke
Am 13.03.19 um 10:43 schrieb Carsten:

> Moin zusammen.
>
> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> "...
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> failed: Invalid authentication mechanism
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> ..."
>
> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> Im Netz finde ich jedoch nichts dazu.
> Kann mir mal jemand auf die Sprünge helfen?
>
> Gruss
> Carsten

Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
LOGIN zu benutzen, den du nicht erlaubt hast.

Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

--
Denny Hanschke

         /"\
         \ /     ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL
          X                            - AGAINST M$ ATTACHMENTS
         / \

   http://www.asciiribbon.org/

   /!\ I'll keep fightin' against M$ HTML-eMails...

---------------------------------------------------------
Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Markus Schönhaber-2
Denny Hanschke, 13.3.2019 12:00 +0100:

> Am 13.03.19 um 10:43 schrieb Carsten:
>> Moin zusammen.
>>
>> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
>> "...
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
>> 16c13.w.time4vps.cloud[195.181.245.88]
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
>> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
>> failed: Invalid authentication mechanism
>> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
>> 16c13.w.time4vps.cloud[195.181.245.88]
>> ..."
>>
>> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
>> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
>> Im Netz finde ich jedoch nichts dazu.
>> Kann mir mal jemand auf die Sprünge helfen?
>>
>> Gruss
>> Carsten
>
> Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
> LOGIN zu benutzen, den du nicht erlaubt hast.

Genau.

> Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
> Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

LOGIN ist ein SASL-Mechanismus, also im Prinzip eine
Verfahrensvorschrift, wie die Kommunikationspartner die
Authentifizierungsdaten übertragen.
Dass LOGIN (oder irgendein anderer SASL-Mechanismus) verwendet wird,
sagt nichts darüber aus, welche Art von Benutzerdatenbank (SQL, LDAP,
shadow, Cyrus sasldb...) auf dem Server benutzt wird.

--
Gruß
  mks

Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Patrick Ben Koetter-2
In reply to this post by Denny Hanschke
* Denny Hanschke <[hidden email]>:

> Am 13.03.19 um 10:43 schrieb Carsten:
> > Moin zusammen.
> >
> > Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> > "...
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> > 16c13.w.time4vps.cloud[195.181.245.88]
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> > 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> > failed: Invalid authentication mechanism
> > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> > 16c13.w.time4vps.cloud[195.181.245.88]
> > ..."
> >
> > Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> > da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> > Im Netz finde ich jedoch nichts dazu.
> > Kann mir mal jemand auf die Sprünge helfen?
> >
> > Gruss
> > Carsten
>
> Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
> LOGIN zu benutzen, den du nicht erlaubt hast.
>
> Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
> Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.

Nope, das stimmt so nicht bzw. nur in einem ganz speziellen Setup und genau
dieses will $MAN vermeiden, weil für jeden E-Mail User dann auch ein
Systemuser angelegt werden muss.


LOGIN ist ein Mechanismus den ein Client nutzen kann, um die Identität seines
Benutzers an einen Server zu senden. (Bei LOGIN wird im ersten Roundtrip der
Benutzername und im Zweiten das Kennwort gesendet. PLAIN sendet, im Vergleich
dazu, beides in einem Rountrip)

Der Server nimmt die Identitätsdaten dann und übergibt diese an einen Password
Verification Service (PWS). Der PWS greift dann über eine METHOD auf ein auth
backend zu und überprüft dort, ob die Identität authentifizert werden kann.

Das Ergebnis liefert der PWS dann an den Server zurück und dieser kann in
Abhängigkeit davon eine Aktion des Client autorisieren oder ablehnen.


Ein PWS *kann* auf eine /etc/shadow zugreifen, muss es aber nicht. Er kann
ebenso auf einen SQL-Server, einen LDAP-Server, eine separate, binäre
User-Datenbank (sasldb2) oder noch ganz andere Backends, z.B. Kerberos,
zugreifen. Was da geht, hängt von der Implementierung des PWS ab.

Setzt ihr cyrus als smtpd_sasl_type ein, geht alles was mit Cyrus SASL möglich
ist. Ist smtpd_sasl_type auf dovecot gesetzt, geht alles was über die
aktivierten /etc/dovecot/auth-* Komponenten eingerichtet wurde.

p@rick

Mehr zu Cyrus SASL: https://blog.sys4.de/tag/cyrus-sasl.html


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Patrick Ben Koetter-2
* Patrick Ben Koetter <[hidden email]>:

> * Denny Hanschke <[hidden email]>:
> > Am 13.03.19 um 10:43 schrieb Carsten:
> > > Moin zusammen.
> > >
> > > Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> > > "...
> > > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> > > 16c13.w.time4vps.cloud[195.181.245.88]
> > > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> > > 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> > > failed: Invalid authentication mechanism
> > > Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> > > 16c13.w.time4vps.cloud[195.181.245.88]
> > > ..."
> > >
> > > Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> > > da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> > > Im Netz finde ich jedoch nichts dazu.
> > > Kann mir mal jemand auf die Sprünge helfen?
> > >
> > > Gruss
> > > Carsten
> >
> > Das ist keine besondere Attacke sondern nur der Versuch den Mechanismus
> > LOGIN zu benutzen, den du nicht erlaubt hast.
> >
> > Mit LOGIN können sich lokale Benutzer unter Verwendung der /etc/shadow
> > Datei am smtpd Anmelden um den Dienst in Anspruch zunehmen.
>
> Nope, das stimmt so nicht bzw. nur in einem ganz speziellen Setup und genau
> dieses will $MAN vermeiden, weil für jeden E-Mail User dann auch ein
> Systemuser angelegt werden muss.
>
>
> LOGIN ist ein Mechanismus den ein Client nutzen kann, um die Identität seines
> Benutzers an einen Server zu senden. (Bei LOGIN wird im ersten Roundtrip der
> Benutzername und im Zweiten das Kennwort gesendet. PLAIN sendet, im Vergleich
> dazu, beides in einem Rountrip)

s/Rountrip/Roundtrip/g


> Der Server nimmt die Identitätsdaten dann und übergibt diese an einen Password
> Verification Service (PWS). Der PWS greift dann über eine METHOD auf ein auth
> backend zu und überprüft dort, ob die Identität authentifizert werden kann.

s/PWS/PVS/g

Password Werification Service, genau. Ich geh dann mal Kaffee holen... ;-)


> Das Ergebnis liefert der PWS dann an den Server zurück und dieser kann in
> Abhängigkeit davon eine Aktion des Client autorisieren oder ablehnen.
>
>
> Ein PWS *kann* auf eine /etc/shadow zugreifen, muss es aber nicht. Er kann
> ebenso auf einen SQL-Server, einen LDAP-Server, eine separate, binäre
> User-Datenbank (sasldb2) oder noch ganz andere Backends, z.B. Kerberos,
> zugreifen. Was da geht, hängt von der Implementierung des PWS ab.
>
> Setzt ihr cyrus als smtpd_sasl_type ein, geht alles was mit Cyrus SASL möglich
> ist. Ist smtpd_sasl_type auf dovecot gesetzt, geht alles was über die
> aktivierten /etc/dovecot/auth-* Komponenten eingerichtet wurde.
>
> p@rick
>
> Mehr zu Cyrus SASL: https://blog.sys4.de/tag/cyrus-sasl.html
>
>
> --
> [*] sys4 AG
>  
> https://sys4.de, +49 (89) 30 90 46 64
> Schleißheimer Straße 26/MG,80333 München
>  
> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
> Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
> Aufsichtsratsvorsitzender: Florian Kirstein
>  

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

AW: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Uwe Drießen
In reply to this post by Carsten-2
Im Auftrag von Carsten

> Moin zusammen.
>
> Mein Fail2Ban meldet mir immer mal wieder solche Versuche:
> "...
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning:
> 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication
> failed: Invalid authentication mechanism
> Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from
> 16c13.w.time4vps.cloud[195.181.245.88]
> ..."
>
> Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen,
> da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt.
> Im Netz finde ich jedoch nichts dazu.
> Kann mir mal jemand auf die Sprünge helfen?
>
Ich schau ab und an immer mal wieder nach welche Netze / IP sich an Passworthacking versuchen

[z]grep "Password mismatch" dovecot.log[.*.gz] |cut -d"," -f2|cut -d")" -f1 |sort|uniq -c |sort |less

Da kommt manchmal recht erstaunliches raus :-)


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Django [BOfH]
In reply to this post by Patrick Ben Koetter-2
HI!

On 13.03.19 12:56, Patrick Ben Koetter wrote:

> LOGIN ist ein Mechanismus den ein Client nutzen kann, um die Identität seines
> Benutzers an einen Server zu senden. (Bei LOGIN wird im ersten Roundtrip der
> Benutzername und im Zweiten das Kennwort gesendet. PLAIN sendet, im Vergleich
> dazu, beides in einem Rountrip)

Ja was soll ich sagen, Der Mailguru schlechthin hat da vollkommen recht
und hat das richtig dargestellt. Wenn man das als Fingerübung testen
möchte kann man das z.B. wie hier beschrieben tun:
https://dokuwiki.nausch.org/doku.php/centos:mail_c7:postfix3_8#testen


Servus
Django
Reply | Threaded
Open this post in threaded view
|

Re: Frage nach etwas tieferem Knoff-Hoff über SASL Atacken

Django [BOfH]
Habedieehre,

On 13.03.19 14:53, Django wrote:

> Wenn man das als Fingerübung testen
> möchte kann man das z.B. wie hier beschrieben tun:
> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:postfix3_8#testen

O.K., bevor mich noch jemand ganz lieb anspricht, dass da in den
Beispielen ja Passwörter zu lesen sind. Don't panic, das sind natürlich
fakecredentials - ich mal ja langsam alt uind senil werden, aber deppert
bin ich (noch) nicht - oder ich weiß es nur noch nicht. ;)


Servus
Django