Wer zur Hölle ist dieser Rodriguez?

12.12.2012 20:08 von /cbx, derzeit 2.54100 Kommentare

Send to Kindle

Heute scheint mal wieder ein ganz erlesener Eklektizismus erheblich erkenntnisbehinderter Edel-Esel im Internet frei zu drehen. Seit gestern Abend läuft ein unterschwelliger Angriff auf unseren Mailserver, der wohl unentdeckt geblieben wäre, wenn nicht der Server eines Kunden sich plötzlich geweigert hätte, Mails von uns anzunehmen. Ich wollte nur schnell sicherstellen, dass das Problem nicht auf unserer Seite liegt (was auch so war), als ich über eine eigentümliche Häufung gescheiterter Login-Versuche stolperte.

Normalerweise schlägt ein Skript Alarm, wenn pro Stunde mehr als 50 Login-Versuche fehlschlagen. Das Skript war ruhig geblieben, weil die Angreifer gerade mal ungefähr 30 Versuche pro Stunde von einer unüberschaubaren Menge verschiedenster IP-Adressen aus USA und Europa unternommen haben – das allerdings über Stunden und Tage.

Weil ich manchmal doch ziemlich neugierig sein kann, habe ich unser Postfix auf den höchsten Loglevel geschaltet und die übergebenen Benutzernamen und Passwörter abgeschnorchelt. Innerhalb von gerade mal fünf Minuten konnte ich von drei verschiedenen IP-Adressen diese Daten abfangen:

cbx@eee10-cbx ~/eingetippt $ cat postfix-creds.txt|cut -d ‘ ‘ -f 6-15

unknown[216.1.42.19]: AUTH LOGIN cm9nZXI=
xsasl_cyrus_server_first: decoded initial response roger
xsasl_cyrus_server_next: decoded response: roger123
xsasl_cyrus_server_first: decoded initial response roger
xsasl_cyrus_server_next: decoded response: 123456
xsasl_cyrus_server_first: decoded initial response roger
xsasl_cyrus_server_next: decoded response: password

HSI-KBW-37-209-31-239.hsi15.kabel-badenwuerttemberg.de[37.209.31.239]:
AUTH LOGIN cm9kcmlxdWV6
xsasl_cyrus_server_first: decoded initial response rodriquez
xsasl_cyrus_server_next: decoded response: rodriquez
AUTH LOGIN cm9kcmlxdWV6
xsasl_cyrus_server_first: decoded initial response rodriquez
xsasl_cyrus_server_next: decoded response: rodriquez1
AUTH LOGIN cm9kcmlxdWV6
xsasl_cyrus_server_first: decoded initial response rodriquez
xsasl_cyrus_server_next: decoded response: rodriquez123
AUTH LOGIN cm9kcmlxdWV6
xsasl_cyrus_server_first: decoded initial response rodriquez
xsasl_cyrus_server_next: decoded response: 123456
AUTH LOGIN cm9kcmlxdWV6
xsasl_cyrus_server_first: decoded initial response rodriquez
xsasl_cyrus_server_next: decoded response: password

74-95-89-172-WashingtonDC.hfc.comcastbusiness.net[74.95.89.172]:
AUTH LOGIN cm9kcmlndWV6
xsasl_cyrus_server_first: decoded initial response rodriguez
xsasl_cyrus_server_next: decoded response: rodriguez1
AUTH LOGIN cm9kcmlndWV6
xsasl_cyrus_server_first: decoded initial response rodriguez
xsasl_cyrus_server_next: decoded response: rodriguez123
AUTH LOGIN cm9kcmlndWV6
xsasl_cyrus_server_first: decoded initial response rodriguez
xsasl_cyrus_server_next: decoded response: 123456
AUTH LOGIN cm9kcmlndWV6
xsasl_cyrus_server_first: decoded initial response rodriguez
xsasl_cyrus_server_next: decoded response: password

Im Klartext sind die Benutzernamen:

  • roger
  • rodriquez
  • rodriguez

mit den Passwörtern

  • roger
  • roger1
  • roger123
  • rodriquez
  • rodriquez1
  • rodriquez123
  • rodriguez
  • rodriguez1
  • rodriguez123
  • 1233456
  • password

Nun, das ist schon irgendwie eine Enttäuschung. Mit derart dämlichen Passwörtern wird es noch geschätzte 12.000 Jahre dauern, in unseren Server zu kommen. Es bleibt allerdings die Frage, welches Botnetz jetzt so knapp vor Weihnachten in schwäbischen Fleiß ausbricht, um genug offene Mailserver zu finden – und wie unsere dominica auf die Wunschliste dieser Arschgeigen gekommen ist. Unsere Handlungsmöglichkeiten sind nämlich durchaus überschaubar. Diese Angriffe lassen sich kaum effektiv blockieren, wenn von jeder IP-Adresse nur maximal fünf Versuche durchgeführt werden, denn das würde auch legitime Benutzer sehr schnell vor die Türe setzen. Und so bleibt nur das zu tun, was ich in letzter Zeit offenbar öfter tun darf. Stillhalten und hinnehmen, dass die Arschlöcher und Abzocker auch hier am längeren Hebel sitzen.

Wie gut, dass mein mittlerweile offiziell methusalisches Alter mir die Langmut gibt, dies stoisch – ach, was schreibe ich – sogar feinsinnig lächelnd zu ertragen.

/cbx, Kategorie: Netz Dschungelcamp -

 

Eigener Senf dazu?

  1. The Angry Nerd gab am 12. Dezember 2012, 22:41 folgenden Senf dazu:

    Eine deutsche IP?
    Na, da würde ich doch glatt mal Strafanzeigen schreiben. Oder besser noch, zivilrechtlich Forderungen geltend machen. Dann kannst du, bzw. der Blutsauger, nämlich selbst vom Richter die postalischen Adressen ankarren lassen. Wenn die Staatsanwaltschaft das machen soll, sind die Weg bis einer die Anzeige gelesen hat.

    Hier und jetzt hast du die Chance, auch mal arme Leute abzuzocken. Vielleicht eine Oma, bei der der Enkel auf den Schmuddelseiten den Trojaner angeschleppt hat.

    Ignoriere das Stechen in der Brust, schlag zu!

    /cbx meint dazu:

    <grosskotz>Sorry, aber dafür bin ich jetzt doch noch nicht deutsch genug...</grosskotz>

  2. The Angry Nerd gab am 14. Dezember 2012, 02:26 folgenden Senf dazu:

    Wegen solchen Leuten wie dir ist aus dem großen Kaiserreich der Operettenstaat geworden :p

    /cbx meint dazu:

    Vielleicht. Aber die Lebenszufriedenheit der Operettendarsteller ist enorm.

Kommentarfunktion für diesen Artikel geschlossen.