Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 3149 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible breach

Jazzie05
Hi, 

I had a weird occurrence yesterday. I had the following entry in the web security usage report



It is at the bottom, the "anonymous" access... I only have two clients on my network. No pinholes in the FW (no inbound rules). Here is the second very strange occurrence that was from Taiwan! :



Which showed access to the SMTP service. Now I only have the SMTP proxy activated in order to receive notifications. I do not have a relay or smtp server for that matter. This is disturbing to say the least... I took measures to turn off the SMTP proxy in the mean time and I am watching my network a little more closely than usual. Does anyone know how/why this is happening. Especially if I don't have any external access to my FW... 


BTW: I did a 'Whoisip" on the ip and found it going to here:

OrgName:    Asia Pacific Network Information Centre 
OrgID:      APNIC
Address:    PO Box 2131
City:       Milton
StateProv:  QLD
PostalCode: 4064
Country:    AU

ReferralServer: whois://whois.apnic.net

NetRange:   219.0.0.0 - 219.255.255.255 
CIDR:       219.0.0.0/8 
NetName:    APNIC5
NetHandle:  NET-219-0-0-0-1



Regards
Jazzie


This thread was automatically locked due to age.
  • 0 in reply to RFCat_vk_01
    Hi all!

    First of all, Happy New Year! (where ever you are! [:)] second, I don't have any hidden rule or Snat/Dnat rules to allow SMTP service to Taiwan. I just checked my network access log and sure enough, the same ip from Taiwan has used the SMTP that is supposed to be set to my interal ip. (Because Astaro wants an internal server, I set one of my ip's (internal) to the internal server and have a smart host for my ISP (Comcast). I love getting notifications, but if I have to give it up to keep any undesirables out, so be it... All rules I have are internal network----Outbound to any. Not the other way around. I re-installed Astaro to be sure it wasn't anything I did and the result is the same. Why would someone from Taiwan use my system (Astaro allowing) as a relay for smtp? I am pretty close on going for a different distro. I shall give it a week or so with close monitoring to see...

    Regards
    Jazzie05
  • 0 in reply to Jazzie05
    Why would someone from Taiwan use my system (Astaro allowing) as a relay for smtp?


    There's a big difference between TRIED and SUCCEEDED.

    If you have the SMTP proxy enabled, it will listen on the external interface, but that DOES NOT mean that it is relaying mail for spammers.

    Barry
  • 0 in reply to BarryG
    I understand this, but it states that the user had access to the network/proxy. For my eyes, this isn't right! it states the user from the ip sent and was acknowledged by the network. (no tried, but suceeded) in sending 500K in packets. And he/she done it more than once. It doesn't state blocked... And I have no rules allowing such an action..

    Regards
    Jazzie05
  • 0 in reply to Jazzie05
    In this case, the traffic won't be blocked by the PacketFilter, but instead will be REJECTED by the SMTP server.

    e.g.
    Remote: TCP connect to port 25
    SERVER: SMTP greeting
    Remote: helo spammer.com
    SERVER: pleased to meet you
    Remote: mail from: spam@spam.com
    SERVER: ok
    Remote: rcpt to: user@foo.bar
    SERVER: relaying denied

    It's arguable how desirable this situation is, but it's the way Astaro is setup, and no one else seems to be complaining.
    In my opinion, it shouldn't be an issue as long as the SMTP server is up-to-date with all patches. Of course, if a 0-day SMTP worm shows up for this specific SMTP service, it could be a problem.

    Barry
  • 0 in reply to BarryG
    It's arguable how desirable this situation is, but it's the way Astaro is setup, and no one else seems to be complaining.


    Excuse me, but that is a lame statement. No else seems to be complaining so it must be just isolated to my Astaro/system setup! If that is the way Astaro is setup, then I need to get something else. Smoothwall, ipcop, Clarkconnect, ect. Does not allow rogue connections from unauthorized users just because they request the service! Only if you have some sort of rule allowing someone outside the fw access. Which I don't... They had unrestricted access as far as Astaro was concerned...


    As far as I am concerned SMTP proxy is being shut off permanently. And if it was a zero day attack that the IPS or Astaro's design, then 
    that is a weak link. One Astaro should fix before it gets exploited if not already!

    Regards
    Jazzie05