Hackerangriff auf unseren iNotes Server ohne IP Angabe!

[Ice-Tee]

Hallo zusammen,

in unseren Logs habe ich folgende Einträge entdeckt. Hier versucht sich ein Hacker mit den wildesten Benutzernamen Zugang zu verschaffen (siehe Grafik).



Dabei ist mir aufgefallen, das keine IP des Angreifers mitgesendet wurde. Statt der üblich mitgeschnittenen IP steht hier nur ein [ ].
Ich habe noch nie gehört, das ein Request ohne IP ausgelöst werden kann.
Die fehlende IP ist nur bei diesem Hacker. Alle anderen Request werden (so wie es eigentlich immer ist) inkl. der IP geloggt.

Kann sich das jemand erklären oder hat jemand eine Idee? Ich stehe hier ein wenig auf dem Schlauch ohne IP ...

[pram]

Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?

[Ice-Tee]

Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?

Ja - könnte sein. Die Idee hatte ich noch nicht.
Kann das jemand mit der IPv6 bestätigen?

Danke.

[pram]

kannst du doch selber testen (hab kein IPv6 aktiv hier)

Code

telnet ::1 110
USER root
PASS geheim

::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland

[Pfefferminz-T]

Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten

[Ice-Tee]

kannst du doch selber testen (hab kein IPv6 aktiv hier)

Code

telnet ::1 110
USER root
PASS geheim

::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland

Wir haben auch kein IPv6 implementiert - daher ist ein Test so ohne weiteres auch nicht möglich.
Kann das jemand mit vorhandener IPv6 Infrastruktur testen, ob die Logs überhaupt damit möglich sind oder nur das angeschriebene [ ] in den Logs erscheint.

[Ice-Tee]

Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten

Ja - das war bisher nie ein Problem und wurde für verschiedene Anwendung noch am Leben gehalten.
Jetzt ist der Zugriff von extern nicht mehr notwendig. Vin intern gibt es noch zwei Server, die per POP3 auf den iNotes Server zugreifen müssen.
Kann ich im Domino iregndwo sagen, das POP3 nur von speziellen IPs erlaubt ist?
Das würde ja schon mla helfen.

[Pfefferminz-T]

Es gibt meines Wissens nach keine Möglichkeit am Domino Server den POP3-Zugriff auf spezielle IP-Adressen einzuschränken. Aber für die Firewall-Kollegen wäre das ein leichtes, den Zugriff von aussen entsprechend zu beschränken.

Gruss,
Thorsten

[Ice-Tee]

Ich habe unseren Server jetzt auf IPv6 geprüft und festgestellt, das dieser das Protokoll nicht unterstützt.
Somit bleibt die Frage, wie der Hacker es geschafft hat seine IP Adresse nicht mitzusenden?
Habe ich hier vielleicht eine neue (oder alte) Sicherheitslücke entdeckt?
In jedem Fall ein sehr sehr denkwürdiges Verhalten.

Als Maßnahme ist nun auf der Firewall der Port 110 und 995 von extern zum iNotes Server dicht. Und intern können somit die Server noch weiter auf POP3 zugreifen (wird ja benötigt).

Es bleibt ein sehr mulmiges Gefühl, wie das technisch möglich war.
Hat vielleicht noch jemand eine Idee?

[m3]

Was sagt denn das FW-Log? Dem würde ich mehr vertrauen, als dem Domino-Log.

[byte]

notes.ini -  TCP_ENABLEIPV6=1

greetz