Autor Thema: Hackerangriff auf unseren iNotes Server ohne IP Angabe!  (Gelesen 3565 mal)

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Hallo zusammen,

in unseren Logs habe ich folgende Einträge entdeckt. Hier versucht sich ein Hacker mit den wildesten Benutzernamen Zugang zu verschaffen (siehe Grafik).



Dabei ist mir aufgefallen, das keine IP des Angreifers mitgesendet wurde. Statt der üblich mitgeschnittenen IP steht hier nur ein [ ].
Ich habe noch nie gehört, das ein Request ohne IP ausgelöst werden kann.
Die fehlende IP ist nur bei diesem Hacker. Alle anderen Request werden (so wie es eigentlich immer ist) inkl. der IP geloggt.

Kann sich das jemand erklären oder hat jemand eine Idee? Ich stehe hier ein wenig auf dem Schlauch ohne IP ...

Offline pram

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.170
  • Geschlecht: Männlich
    • Foconis Object Framework
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #1 am: 31.08.15 - 09:57:30 »
Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?
Roland Praml

IBM Certified Application Developer - Lotus Notes and Domino 8
Ich verwende das Foconis Object Framework

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #2 am: 31.08.15 - 10:33:14 »
Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?
Ja - könnte sein. Die Idee hatte ich noch nicht.
Kann das jemand mit der IPv6 bestätigen?

Danke.

Offline pram

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.170
  • Geschlecht: Männlich
    • Foconis Object Framework
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #3 am: 31.08.15 - 10:43:49 »
kannst du doch selber testen ;) (hab kein IPv6 aktiv hier)
Code
telnet ::1 110
USER root
PASS geheim
::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland
Roland Praml

IBM Certified Application Developer - Lotus Notes and Domino 8
Ich verwende das Foconis Object Framework

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #4 am: 31.08.15 - 10:53:38 »
Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten
Grüsse,
Thorsten

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #5 am: 31.08.15 - 11:01:18 »
kannst du doch selber testen ;) (hab kein IPv6 aktiv hier)
Code
telnet ::1 110
USER root
PASS geheim
::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland
Wir haben auch kein IPv6 implementiert - daher ist ein Test so ohne weiteres auch nicht möglich.
Kann das jemand mit vorhandener IPv6 Infrastruktur testen, ob die Logs überhaupt damit möglich sind oder nur das angeschriebene [ ] in den Logs erscheint.

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #6 am: 31.08.15 - 11:04:55 »
Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten
Ja - das war bisher nie ein Problem und wurde für verschiedene Anwendung noch am Leben gehalten.
Jetzt ist der Zugriff von extern nicht mehr notwendig. Vin intern gibt es noch zwei Server, die per POP3 auf den iNotes Server zugreifen müssen.
Kann ich im Domino iregndwo sagen, das POP3 nur von speziellen IPs erlaubt ist?
Das würde ja schon mla helfen.

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #7 am: 31.08.15 - 11:27:29 »
Es gibt meines Wissens nach keine Möglichkeit am Domino Server den POP3-Zugriff auf spezielle IP-Adressen einzuschränken. Aber für die Firewall-Kollegen wäre das ein leichtes, den Zugriff von aussen entsprechend zu beschränken.

Gruss,
Thorsten
Grüsse,
Thorsten

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #8 am: 31.08.15 - 18:21:48 »
Ich habe unseren Server jetzt auf IPv6 geprüft und festgestellt, das dieser das Protokoll nicht unterstützt.
Somit bleibt die Frage, wie der Hacker es geschafft hat seine IP Adresse nicht mitzusenden?
Habe ich hier vielleicht eine neue (oder alte) Sicherheitslücke entdeckt?
In jedem Fall ein sehr sehr denkwürdiges Verhalten.

Als Maßnahme ist nun auf der Firewall der Port 110 und 995 von extern zum iNotes Server dicht. Und intern können somit die Server noch weiter auf POP3 zugreifen (wird ja benötigt).

Es bleibt ein sehr mulmiges Gefühl, wie das technisch möglich war.
Hat vielleicht noch jemand eine Idee?

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #9 am: 31.08.15 - 22:36:16 »
Was sagt denn das FW-Log? Dem würde ich mehr vertrauen, als dem Domino-Log.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline byte

  • Aktives Mitglied
  • ***
  • Beiträge: 158
  • Geschlecht: Männlich
  • Pillenausgabe geschwänzt ^^
Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
« Antwort #10 am: 10.09.15 - 13:47:41 »
notes.ini -  TCP_ENABLEIPV6=1

greetz ;)
egal ist auch wurschd ^^

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz