Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Ice-Tee am 31.08.15 - 07:45:51

Titel: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Ice-Tee am 31.08.15 - 07:45:51
Hallo zusammen,

in unseren Logs habe ich folgende Einträge entdeckt. Hier versucht sich ein Hacker mit den wildesten Benutzernamen Zugang zu verschaffen (siehe Grafik).

(http://fs1.directupload.net/images/150831/jzdz34es.png)

Dabei ist mir aufgefallen, das keine IP des Angreifers mitgesendet wurde. Statt der üblich mitgeschnittenen IP steht hier nur ein [ ].
Ich habe noch nie gehört, das ein Request ohne IP ausgelöst werden kann.
Die fehlende IP ist nur bei diesem Hacker. Alle anderen Request werden (so wie es eigentlich immer ist) inkl. der IP geloggt.

Kann sich das jemand erklären oder hat jemand eine Idee? Ich stehe hier ein wenig auf dem Schlauch ohne IP ...
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: pram am 31.08.15 - 09:57:30
Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Ice-Tee am 31.08.15 - 10:33:14
Zitat von: pram am 31.08.15 - 09:57:30
Kann es sein, dass der Request über IPv6 rein kam und Domino dies nicht vernünftig loggt?
Ja - könnte sein. Die Idee hatte ich noch nicht.
Kann das jemand mit der IPv6 bestätigen?

Danke.
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: pram am 31.08.15 - 10:43:49
kannst du doch selber testen ;) (hab kein IPv6 aktiv hier)
Code
telnet ::1 110
USER root
PASS geheim
::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Pfefferminz-T am 31.08.15 - 10:53:38
Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Ice-Tee am 31.08.15 - 11:01:18
Zitat von: pram am 31.08.15 - 10:43:49
kannst du doch selber testen ;) (hab kein IPv6 aktiv hier)
Code
telnet ::1 110
USER root
PASS geheim
::1 entspricht der Loopback-V6-Adresse (~127.0.0.1)
Ausserdem siehst du dann gleich, ob IPv6 konfiguriert ist und der Domino den Connect annimmt.


Gruß
Roland
Wir haben auch kein IPv6 implementiert - daher ist ein Test so ohne weiteres auch nicht möglich.
Kann das jemand mit vorhandener IPv6 Infrastruktur testen, ob die Logs überhaupt damit möglich sind oder nur das angeschriebene [ ] in den Logs erscheint.
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Ice-Tee am 31.08.15 - 11:04:55
Zitat von: Pfefferminz-T am 31.08.15 - 10:53:38
Aeh, ihr lasst POP3-Zugriffe von aussen zu obwohl ihr iNotes im Einsatz habt?

Gruss,
Thorsten
Ja - das war bisher nie ein Problem und wurde für verschiedene Anwendung noch am Leben gehalten.
Jetzt ist der Zugriff von extern nicht mehr notwendig. Vin intern gibt es noch zwei Server, die per POP3 auf den iNotes Server zugreifen müssen.
Kann ich im Domino iregndwo sagen, das POP3 nur von speziellen IPs erlaubt ist?
Das würde ja schon mla helfen.
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Pfefferminz-T am 31.08.15 - 11:27:29
Es gibt meines Wissens nach keine Möglichkeit am Domino Server den POP3-Zugriff auf spezielle IP-Adressen einzuschränken. Aber für die Firewall-Kollegen wäre das ein leichtes, den Zugriff von aussen entsprechend zu beschränken.

Gruss,
Thorsten
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: Ice-Tee am 31.08.15 - 18:21:48
Ich habe unseren Server jetzt auf IPv6 geprüft und festgestellt, das dieser das Protokoll nicht unterstützt.
Somit bleibt die Frage, wie der Hacker es geschafft hat seine IP Adresse nicht mitzusenden?
Habe ich hier vielleicht eine neue (oder alte) Sicherheitslücke entdeckt?
In jedem Fall ein sehr sehr denkwürdiges Verhalten.

Als Maßnahme ist nun auf der Firewall der Port 110 und 995 von extern zum iNotes Server dicht. Und intern können somit die Server noch weiter auf POP3 zugreifen (wird ja benötigt).

Es bleibt ein sehr mulmiges Gefühl, wie das technisch möglich war.
Hat vielleicht noch jemand eine Idee?
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: m3 am 31.08.15 - 22:36:16
Was sagt denn das FW-Log? Dem würde ich mehr vertrauen, als dem Domino-Log.
Titel: Re: Hackerangriff auf unseren iNotes Server ohne IP Angabe!
Beitrag von: byte am 10.09.15 - 13:47:41
notes.ini -  TCP_ENABLEIPV6=1

greetz ;)