[FRnOG] Problème SMTP Orange
Yopla, Dites, j'ai pas de transit de mails avec Orange ce matin. Les mails sont acceptés par les smtp internet (j'ai au moins deux IP, 80.12.242.52 et 80.12.242.16). Mais les mails n'arrivent jamais à destination. Il va de soit qu'avant de poster ici, j'ai fait un tas de vérif ... Seb -- Sébastien BAUDRU, DRASTIC IT Security ZI Petite Savate 59600 MAUBEUGE TEL : 03.27.64.66.50 GSM : 06.28.48.17.24 FAX : 09.58.99.93.93 http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Problème SMTP Orange
Re, En fait, j'ai aucun message d'erreur de la part du smtp. En gros, j'ai un mini-client avec un petit serveur Postfix chez lui, connecté à une LiveBox pro. Le serveur est utilisé en tant que smtp interne, et il relay vers smtp.orange.fr (qui ne nécessite pas d'authentification). Voici un snippet de logs : -- Aug 5 11:33:00 grimbergen postfix/qmgr[1718]: 54949D5632E: from=, size=312, nrcpt=1 (queue active) Aug 5 11:33:01 grimbergen postfix/smtp[20869]: 54949D5632E: to=, relay=80.12.242.86[80.12.242.86]:25, delay=1.1, delays=0.16/0.01/0.6/0.35, dsn=2.0.0, status=sent (250 2.0.0 GZZ41h00H46DpNA03ZZ5Xv mail accepted for delivery) Aug 5 11:33:01 grimbergen postfix/qmgr[1718]: 54949D5632E: removed -- L'adresse du destinataire est changée pour différents truc : des gmail, des hotmails et en gros, rien n'y fait, ça n'arrive jamais chez le destinataire. La queue chez Orange semble être bloquée. Si quelqu'un pouvait faire le test avec cette IP : 80.12.242.86 ce serait cool ! Il faut être connecté chez Orange pour pouvoir utiliser cette IP de smtp.orange.fr. Merci d'avance Seb Le 05/08/2011 11:34, Benjamin Billon a écrit : > Pas de souci de notre côté. > Quelles sont les réponses SMTP ? --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Sébastien BAUDRU, DRASTIC IT Security ZI Petite Savate 59600 MAUBEUGE TEL : 03.27.64.66.50 GSM : 06.28.48.17.24 FAX : 09.58.99.93.93 http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Problème SMTP Orange
Ok, le problème est constaté chez pas mal de monde (merci pour les réponses en PV). A priori, la queue chez Orange est bloquée. On prend donc notre mal en patience, si quelqu'un de chez Orange peut nous faire un feedback ce sera cool ! Seb Le 05/08/2011 11:27, Sébastien BAUDRU a écrit : > Yopla, > > Dites, j'ai pas de transit de mails avec Orange ce matin. Les mails sont > acceptés par les smtp internet (j'ai au moins deux IP, 80.12.242.52 et > 80.12.242.16). > > Mais les mails n'arrivent jamais à destination. > Il va de soit qu'avant de poster ici, j'ai fait un tas de vérif ... > > Seb > -- Sébastien BAUDRU, DRASTIC IT Security ZI Petite Savate 59600 MAUBEUGE TEL : 03.27.64.66.50 GSM : 06.28.48.17.24 FAX : 09.58.99.93.93 http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Problème SMTP Orange
Auto-feedback vu qu'on n'a pas eu de reoutr d'Orange via FRNog (pour changer) : les mails sont en transit, j'ai commencé à recevoir les plus anciens, au compte goûte. C'est là que je m'en veut d'aboir fait autant de tests :D Bon vendredi de troll à tous. Seb Le 05/08/2011 12:23, Sébastien BAUDRU a écrit : > A priori, la queue chez Orange est bloquée. On prend donc notre mal en > patience, si quelqu'un de chez Orange peut nous faire un feedback ce > sera cool ! > > Seb -- Sébastien BAUDRU, DRASTIC IT Security ZI Petite Savate 59600 MAUBEUGE TEL : 03.27.64.66.50 GSM : 06.28.48.17.24 FAX : 09.58.99.93.93 http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Problème SMTP Orange
Tiens, Puisque le débat à un peu dérivé, j'en profite pour donner une tite expérience. Sachez que la livebox, qui fait du DNSmasq, fournit parfois des réponses bien précises. Notamment dans le cas du SMTP : vous demandez aux DNS d'orange (dig ns orange.fr) ou aux serveurs de google (les faeux 8.8.X.X) une résol de smtp.orange.fr, vous obtenez un serveur qui demande une authentification. Quand vous demandez à la Box, elle vous renvoie vers des serveurs... qui ne demandent pas de login. Ça parait con, mais quand vous installez un serveur chez un client, et que par reflexe (de Freenaute j'allais dire :p) vous claquez des DNS en 8.8.8.8... y'a certains logiciels métiers (typiquement chez certaines ambulances) qui se basent sur les smtp d'orange, et qui ne s'attendent pas du tout à ce que le smtp demande une autentification. Si un jour ça peut dépanner quelqu'un ... Mes mails sont finalement tous arrivés. Les smtp d'orange ont réussi à résorber la liste des queued mails. Quand à une éventuelle page "état du réseau chez Orange"... ça sous-entendrai qu'ils monitorent leur réseau sans attendre que les clients se plaignent. Et parfois, je doute, je doute ! Amicalement Seb Le 05/08/2011 20:01, Christophe Pujol a écrit : > Si ça continue, je vais demander une réduction pour ne plus me servir > du dns d'orange. > > Dans tout les cas, j'ai fais le nécessaire pour placer ces dans ma > blacklist. > > On veras la suite > > 2011/8/5 Pascal Rullier mailto:pas...@rullier.net>> > > 2011/8/5 Christophe Pujol <mailto:chpu...@gmail.com>>: > > Bonjour tout le monde, > > C'est mon premier post içi. > > Je confirme le problème. Les dns d'orange sont incapable de > fournir le mx de > > mon client(pas de résolution DNS). Les mail vers l'exchange dans > le nuage de > > M$ ne passe pas quand meme. > > Encore du dns menteur ? ou serveur dns en rade ? > Cela donne une réponse même vide ? > > Sinon, mauvais dns, = changer de dns... > > > y a t-il in status du reseau d'orage disponible (signalement de > probleme)? > > Ouh loulou... Mission impossible, non ? > > - > P, > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > > -- > Christophe PUJOL > > CV: http://www.doyoubuzz.com/christophe-pujol_0 -- Sébastien BAUDRU, DRASTIC IT Security ZI Petite Savate 59600 MAUBEUGE TEL : 03.27.64.66.50 GSM : 06.28.48.17.24 FAX : 09.58.99.93.93 http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le silence des réseaux
On 11/04/2012 11:12, Stephane Bortzmeyer wrote: > Paradoxalement, il y a moins de discussions sur Frnog lorsqu'il y a un > vrai gros problème opérationnel :-) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ Ou les gens sont occupés (ou font semblant de l'être) ;) -- Sébastien BAUDRU, DRASTIC IT Security http://www.drastic-securite.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Faille OpenSSH?
Bonjour, La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et c'est bien pour cela qu'elle fait tant de bruit. Exit donc, pour l'instant, les solutions de type Iptables ou Fail2ban, les IPS ne pourront rien tant que n'aura pas été révelée l'endroit exact de la faille, ni même les versions exactes de SSH. A ce jour, l'ISC à publié une story là dessus, mais peu de nouvelles aujourd'hui. http://isc.sans.org/diary.html?storyid=6742 Le problème c'est que l'équipe anti-sec est connue pour ne pas réveler ses exploits, sauf quand la leçon est méritée. Pour OpenSSH, ils ont puni un néo-zélandais, et l'histoire a très vite fait du bruit, ce qui a poussé anti-sec a faire une petite note rendue publique. Rien n'indique que l'exploit soit récent, rien n'indique non plus qu'il concerne uniquement les version 4.3 comme c'est souvent écrit : anti-sec s'est servi d'un outil qui leur est propre, et la seule chose qui ait changé depuis le début de cette affaire, c'est qu'on connait l'existence de cet outil, qui est peut-être né il y a plusieurs années (il y a de fortes chances qu'il soit né à la même époque qu'OpenSSH 4.3). Maintenant que cette existence est rendue publique, il y a des chances qu'anti-sec fasse une conf dessus. Mes recommandations sont les mêmes que celles de Thomas Mangin, à savoir la dissimulation derrière un VPN si la possibilité de couper le SSH n'est pas offerte. La mise à jour vers OpenSSH 5.2 pourrait créer un faux sentiment de sécurité, en l'absence d'infos concrète sur les capacités de l'outil d'anti-sec. B.R. Sébastien BAUDRU Sebastien gioria a écrit : > > Le 9 juil. 09 à 10:19, Benjamin BILLON a écrit : > >>> Rien a voir... >> Si, à bloc ! >> On a enfin des posts constructifs dénués de geigneries et autres >> plaintes molles. >> (et l'exploit se basant sur une attaque dictionnaire, c'est plus un >> faille de configuration et donc humaine que de l'outil lui-même) > > ce n'est plus une faille si cela se base sur une attaque brute-force > de dico :) C'est une feature :) > > en même temps, avant de crier au loup, il serait bon de regarder les > logsa priori il n'y a pas plus de scans/attaques que d'habitude sur > ce portDe même si on lit bien, la "faille", si elle existe ne cible > pas tous les OS > > PS: cela ne remet pas en cause la bonne qualité du CLI IOS proposé qui > devrait être la configuration standard fournie par Cisco :) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Faille OpenSSH?
Hello, En effet, la faille n'est pas établie, et la plus grande prudence est de mise, notamment quand on se rappelle des événements de l'année dernière concernant "la giga hyper faille DNS" trouvé par Kaminsky. Mais là, il existe un paramètre en plus : c'est pas un quasi inconnu, mais un group nommé anti-sec qui agit. Et ces équipes que sont THC, ADM et autres anti-sec prennent très grand soin de leur image, et ne font pas "de promesse en l'air". C'est, à mon sens, le détail qui rend le plus crédible cette histoire. Mais, qu'on en soit biensûr, j'espère qu'on se trompe, vraiment. Mais, au fur et a mesure de la prise de renseignements, des détails donnent du crédit à la rumeur. SSANZ était sous RedHat avec un OpenSSH 4.3. Beaucoup en ont déduis que seul OpenSSH 4.3 était attaquable (quelle que soit la manière utilisée). C'est là-dessus que je préfère me méfier, parce que jusqu'a preuve du contraire, personne chez anti-sec n'a indiqué cela. Oui, la prudence est de mise. La paranoia, pas encore. Il faut surtout être prêt, car si un exploit venait a être rendu public, il y a fort a parier que seuls les grosses infrastructures auront été contactées pour une mise à jour, et que toutes les petites entités devront réagir avant que quelqu'un ne se serve de cet outil contre eux. Prudence, et appréhension, donc. Sébastien BAUDRU Radu-Adrian Feurdean a écrit : > On Thu, 09 Jul 2009 10:40:51 +0200, "Sébastien BAUDRU" > said: > >> La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et > > Quelle faille ? > Pour l'instant : > - on a vu des logs (sans savoir s'ils sont vrais ou faux) > - on peut etre assez confiants du fait que SSANZ a ete hacke > mais il n'y a aucune indication d'une faille. Nullepart. > > Si elle existe on ne sait pas quelle est la partie du code qui est > concerne. > > Le seul chose acceptable qu'on peut faire c'est d'etre plus prudents que > d'habitude (voire un petit peu paranoids), de faire plus attentions aux > bons pratiques > > Pour l'instant la "faille OpenSSH" c'est comme l'existence du dieu de > votre choix. Faut croire que ca existe, parce-que des vraies preuves de > leur existence, faut etre motive(croyant) pour les accepter en > etat.. > > -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Securite des Routeurs ....
Ah, mais vous manquez d'imagination ... Un câble entre deux prises rj45 clientes environs 1€ d'investissement, mais des heures perdues à trouver d'où vient la boucle. Un "attentat" qui pourrait mettre des vies en danger ! Des années, que je me décarcasse à explioquer ça aux gens ! François-Xavier a écrit : > J'ai pas osé demander combien il paye la > boîte qui (est censée) administre(r) le réseau... > > François-Xavier > En tout cas c'est pas nous ;) -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Salut, Ton nmap ne donnerai de résultat que si l'adresse IP est fixe. D'autant qu'effectivement, le Canada est empli de points d'accès libres ! J'ai lu dans les réponses "c'est le fournisseur de l'AP qui est responsable" ... quelqu'un a vérifié que c'était le cas avec le droit Canadien ? Perso, non, et je suis pas sur que ce soit le cas, j'ai pas connaissance d'un équivalent canadien à Godfrain... d'autant que tu peux pas prouver grand chose. Ne confondons pas la France et le monde ! Surtout sur le plan des lois relative à l'IT ! Greg, très franchement, si tu te prend la tête avec la moindre petite tentative, tu risque d'y laisser bien du temps. Surtout, ça va te coûter cher en procédure, surtout internationale ! Autant investir dans la sécurisation, pour faire que ces méthodes ne passent pas. En plus, tu aura une chance de réussite. Là, tu compte demander à la police d'enquêter sur une tentative d'effraction numérique : mêmes s'ils avaient les compétences et ressources dispo pour ça, sache que tant que tu te sera pas fait piquer des millions, ta demande n'a pas plus d'intérêt qu'une plainte contre X pour bris de vitre ... De plus, si tu découvre ça aujourd'hui, c'est probablement que tu viens de regarder pour la première fois tes logs et/ou que c'est le premier site pour lequel tu prend le temps de faire ça... attend un petit mois, et tu verra que c'est monnaie plus que courante ! Bon courage, néanmoins, si tu décide quand même de faire valoir tes droits ;) Seb Greg a écrit : > Bonjour, > > cette nuit, et ce matin on a subit des attaques par injection SQL depuis > une IP au Canada, dans le but de récupérer des informations. Type: > WHERE id='.$_GET['val'] > qui devient: > WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- > Yen a qui vont prendre cher lundi > > On va porter plainte, et la police va faire son travail... mais > j'aimerais prendre les devants et essayer d'obtenir des infos. > J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune > infos, tout est filtré: je pense donc que c'est vraiment lui derrière, > et pas un PC zombie ni un proxy ni un équipement réseau. > > Est-ce que vous avez des techniques permettant d'en savoir un peu plus > sur Kevin ? > -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RSSIL, les 4&5 Juin 2010, à Maubeuge (Nor d)
Salut tout le monde, Un petit mail pour prévenir la liste de la tenue des Rencontres de Sécurité et d'Informatique Libre, les 4&5 Juin dans le Nord de la France, à Maubeuge. http://www.rssil.org Beaucoup d'entre nous sommes concernés par la sécurité des SI, et beaucoup d'entre nous utilise le logiciel Libre. Du coup, ça peut être un événement à visiter. Et, fonctionnant sur une grosse partie de financements public, il possède ue spécificté très intéressante pour nous, professionnels : les stands y sont gratuits ! Du coup, si vous voulez y être représenté, ça peut être une occasion ! Pour les inscriptions stands, conf & visiteurs, rendez-vous sur http://participants.rssil.org Et si vous désirez avoir des infos, n'hésitez pas à me mailer ou à répondre à ce thread. Seb -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
