Porty 143 a 1035

Tue Jun 9 15:17:55 CEST 1998

On Tue, 9 Jun 1998, Dan Lukes wrote:

> On 21 May 98 at 12:55, La o Igor wrote:
>
> > Z logu vidim, ze jsme velmi casto ocuchavani
> > na vyse uvedenych portech. Podle RFC je
> > 143 = IMAP2 a 1035 tam neni vubec.

> kde vsude je software, ktery ji ma, nebu doufa nejakou takovou chybu najit.
>
> Tech utoku je totiz v posledni dobe hodne:
> Datum Port Odkud
> 11.5 143 Svedsko/Datastugan
> 11.5 161 Svedsko/Kyrknatet AB
> 19.5 143 UK/Internal Systems LTD
> 24.5 143 Madarsko/Academy of Sciences
> 30.5  53 Svycarsko/Ingenieurschule Biel
>  1.6  53 Norsko/University of Trodheim
>  2.6  53 Portugal/Telepac (tamni TELECOM)
>
>     Vsechny utoky maji spolecneho jmenovatele - utok prichazi z portu 0
> (normalne se nemuze stat - uz jen to ukazuje, ze jde o neco divneho) a
> prochazi pravdepodobne vsechny existujici IP adresy (pozoroval jsem tyto
> aktivity ve dvou dost si vzdalenych IP blocich po sobe). Podle me
> tedy ocuchaval i vsechny IP v Cechah, jenze malokdo ma zapnute logy
> na podobne veci.
>
>     Vsechny organizace zaslali po me stiznosti jednotnou reakci - nekdo se
> jim prolamal provilegovane na stroj, spustil scan program  a smazal po sobe
> stopy. Pokud vim, udalosti se zabyva cert.org, otazka ale je, zdali se na
> neco prijde.

CO to je pustil scan program - je to pod MS Windows nebo dosem, nebo je
neco odobne i v Unixu ?

muzu potvrdit - jak se jiz drive objevilo v konferenci nainstaloval jsem
si program chytak na port 143 misto imapu
a to co zachytil 10.5. je v priloze.  Zajimalo by me, kdyby mi nekdo
vysvetlil o co se pokouseli a jak by to fungovalo. Dalsi hlasky uz v logu
nemam, tak se sem snad nedostali - doufam ;-)

May 10 02:44:33 merope chytak[3618]: connect from unknown
May 10 02:48:00 merope chytak[3621]: connect from 194.250.120.21
May 10 02:53:27 merope chytak[3626]: connect from 194.250.120.21
May 10 02:54:32 merope chytak[3631]: connect from 194.250.120.21
May 10 02:55:03 merope chytak[3636]: connect from 194.250.120.21
May 10 02:55:41 merope chytak[3641]: connect from 194.250.120.21
May 10 02:56:03 merope chytak[3646]: connect from 194.250.120.21
May 10 02:56:22 merope chytak[3651]: connect from 194.250.120.21
May 10 02:57:46 merope chytak[3656]: connect from 194.250.120.21
May 10 02:58:11 merope chytak[3661]: connect from 194.250.120.21
May 10 02:58:53 merope in.rlogind[3666]: connect from 194.250.120.21
May 10 02:59:01 merope login: FAILED LOGIN 1 FROM ppp01.infini.fr FOR

tohle je soubor chytak (podle doporuceni v konferenci)

#!/bin/sh
echo '* OK merope.asu.cas.cz IMAP4rev1 Service 9.0(157) at '`date +'%a,%d
%b %Y
%T +0200 (%Z)'`' (Report problems in this server to
MRC at CAC.Washington.EDU)'
date >> $1
cat >> $1

zaznam z /etc/inetd.conf

imap    stream  tcp     nowait  root /usr/sbin/tcpd  chytak /var/log/chytak

A v priloze je obsah souboru >/var/log/chytak

(to pred 10.5 jsou moje pokusy)

BTW stroj je s Linux RH5.0 a vsechny patche do brezna 98.

*************************************************************************
*  Petr Skoda                         Tel   : (0204) 649201, l. 361     *
*  Stelarni oddeleni                          (0204) 620361, 620136     *
*  Astronomicky ustav AVCR            Fax   : (0204) 620250             *
*  251 65 Ondrejov                    e-mail: skoda at sunstel.asu.cas.cz  *
*  Ceska republika                            pskoda at mbox.cesnet.cz     *
*************************************************************************
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/octet-stream
Size: 9698 bytes
Desc: log chytaku - hackersky utok
Url : http://lists.felk.cvut.cz/pipermail/net/attachments/19980609/8cb741ce/attachment.obj 