Le Blog du grand loup Zeur » smtp

Alerte d’ossec en notification sur le bureau

Gaëtan — Thu, 21 Apr 2011 19:06:02 +0000

Aujourd’hui,

Encore un script useless, fait pour passer le temps en cours …

Le but étant d’avoir un IDS ossec sur l’ordi local configuré pour détecter et répondre plus ou moins comme il faut aux attaques basiques et SURTOUT rendre compte à l’utilisateur des problèmes rencontrés de façon orienté ‘desktop’.

A l’heure actuelle seul deux systèmes de notifications (officiels) de l’utilisateur existent sur ossec : soit une notification par mail, soit par twitter (qui ne fonctionne plus).

L’intêret de ce procédé était surtout de plugger snort avec ossec pour détecter des attaques sur le réseau sans avoir à laisser de console sur les logs de l’ids (des p’tits rigolo qui s’amuse sur le réseau de l’école :s).

Histoire de limiter le développement du logiciel, j’ai juste créée un serveur de mail qui via plusieurs regexp chope la règle qui a detecté l’attaque et le sujet du mail pour l’afficher en belle bulle de notification linuxienne.

La règle iptable qui renvoit les paquets du port 25 au port 8025 pour l’interface lo seulement, comme ça on lance le soft avec les droits utilisateurs, on est jamais trop prudent.

/sbin/iptables -t nat -A OUTPUT -o lo -p tcp –dport 25 -j REDIRECT –to-port 8025

Ne pas oublier de modifier le fichier /etc/ossec.conf en mettant l’adresse du serveur smtp a 127.0.0.1, le serveur de mail chopant tout les adresses, on s’en fout donc de l’adresse de destination et d’émission.

IL faut aussi installer les dépendances :

apt-get install python-notify

Une copie du mail est sauvegarder dans le fichier .mails_ossec, histoire de ne pas perdre le mail. (Au pire il est possible de mettre plusieurs adresses mail dans la conf ossec).

Le script à mettre au lancement de la session (Système -> Préférences -> Application au Démarrage) :

#!/usr/bin/env python
from smtpd import PureProxy
import asyncore
import asynchat
import smtplib
import re
import sys
import os.path
import pwd
import grp
import pynotify
class mySMTP (PureProxy):
def __init__(self,s):
PureProxy.__init__(self,s,None)
def process_message (self, peer, mailfrom, rcpttos, data):
if not pynotify.init("Default Action Test"):
sys.exit(1)
filout = open('.mails_ossec', 'a')
filout.write(data)
filout.close()
title=""
rule =""
m = re.search("Subject:(.*)",data,re.I|re.M)
if m:
title=m.group(1)
m= None
m = re.search("(Rule:.*)",data,re.I|re.M)
if m:
rule=m.group(1)
#print data
if title=="" and rule=="":
return None
n = pynotify.Notification(title, rule)
n.show()
return None
if __name__ == "__main__":
#in case of root : drop rights …
#but will not be able to access
#glibnotify … useless
if os.getuid() == 0:
running_uid = pwd.getpwnam("nobody")[2]
running_gid = grp.getgrnam("nogroup")[2]
os.setgid(running_gid)
os.setuid(running_uid)
#/sbin/iptables -t nat -A OUTPUT -o lo -p tcp –dport 25 -j REDIRECT –to-port 8025
serv = mySMTP (("127.0.0.1", 8025))
try:
asyncore.loop ()
except KeyboardInterrupt:
pass

Histoire de pouvoir tester le script, sans attendre une attaque ou une erreur système :
Le petit script qui envoi un mail type au serveur de mail

#!/bin/bash
(
echo "mail from:frommail"
sleep 0.5
echo "rcpt to:tomail"
sleep 0.5
echo "data"
sleep 0.5
echo "To:
From: OSSEC HIDS
Date: Thu, 21 Apr 2011 11:31:40 +0200
Subject: OSSEC Notification – kikoo – Alert level 10
OSSEC HIDS Notification.
2011 Apr 21 11:31:28
Received From: kikoo->/var/log/auth.log
Rule: 5401 fired (level 10) -> 'Three failed attempts to run sudo'
Portion of the log(s):
Apr 21 11:31:28 kikoo sudo: kikoo : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/kikoo/Documents ; USER=root ; COMMAND=/usr/bin/who"
sleep 0.5
echo "."
sleep 0.5
echo "QUIT"
) | telnet 127.0.0.1 25

Et hop … dès qu’une attaque à lieu, ou un problème apparaît, une notification apparaît dans les secondes qui suivent. ça peut être sympa en lan, avec un bon NIDS, pour découvrir les scripts kiddies.

Télécharger l'article au format PDF

Envoyer des mails dans le passé

Gaëtan — Sat, 20 Mar 2010 15:05:34 +0000

Plop à tous …

Aujourd’hui, une astuce de « gros noob », le but est d’envoyer un mail à une date passée ou future, genre pour le rendu d’un devoir à 23h59m59s alors qu’on vient de le terminer à 2h42 du mat, tout en sachant que le prof ne le lira pas avant 7 ou 8 heures du mat’ … le truc totalement useless quoi, mais souvent on perd des points pour des trucs de ce genre, … (quoi ?? ça vous est jamais arrivé ?? bande de lèche-*** ….)

Les plus futés sauront qu’en modifiant la date de leur machine, on peut fausser les dates d’envoi (genre en reculant la date de deux jours, la plupart des mailers/logiciels de récupération de mails vont afficher le mail comme étant reçu il y a deux jours …).

Mais nous sommes informaticiens, et ce genre de méthode, c’est pour les noobs … nous on va coder un bon gros serveur SMTP pour envoyer des mails dans le temps xD…

En fait en python, ça consiste en 40 lignes de codes … (et encore … c’est crade comme d’hab ).

L’utilisation du script suivant ce fait comme suit :

./nomDuScript 'adresse serveur smtp du fai' '25' "date d'envoi"

Ou, si l’on veut rajouter des faux headers (histoire d’expliquer le retard du mails, ou rajouter de faux relais …)

./nomDuScript 'adresse serveur smtp du fai' '25' "date d'envoi" '/chemin/du/fichier contenant/les/headers'

Un fichier d’exemples de (fake) headers à rajouter :

Received: from [1.3.3.7] (helo=lol.kikoo.rox)
by leskikoolol.attaqu.ent with esmtp id m4573r-573417-00
for lolmaster@kikoo.rox; Sat, 20 mar 2010 01:02:03 +0000
Received: from kikoo.lol.rox (kikoo.lol.rox [10.3.3.7])
by lol.kikoo.rox with ESMTP id f7O1Sci1337
for lolmaster@kikoo.rox; Sat, 20 Mar 2010 00:00:00 +0000

et l’exemple d’utilisation pour le header en question :

./nomDuScript 127.0.0.1 25 "Fri, 19 Mar 2010 23:59:58 +0000" headers

Qui permettra de faire croire à votre correspondant ici lolmaster@kikoo.rox :

que vous avez envoyé votre mail vendredi 19 mars 2010 à 23h59, par votre machine nommée « kikoo.lol.rox » à l’ip 10.3.3.7
que le mail a été reçu à minuit par le serveur smtp à l’ip 1.3.3.7 nommé « lol.kikoo.rox »
puis, que le mail a été relayé à 01h02 par le serveur smtp nommé « leskikoolol.attaqu.ent »

Ce qui expliquera au correspondant le temps de latence entre l’envoi du mail et sa réception. (Faudra bien sûr changer les infos pour coller à la réalité ^^)

Le script, qui créé un serveur SMTP sur le port 8025 (il faudra configurer votre client mail pour utiliser le serveur SMTP 127.0.0.1 sur le port 8025) :

#!/usr/bin/env python

from smtpd import PureProxy
import asyncore
import asynchat
import smtplib
import re
import sys
class mySMTP (PureProxy):
def __init__(self,s,n,d,f=""):
self.date = d
self.serv = n
self.fich = f
PureProxy.__init__(self,s,None)
def process_message (self, peer, mailfrom, rcpttos, data):
p = re.compile("Date: .*")
data = p.sub("Date: "+self.date,data)
if self.fich !="":
f = open(self.fich,'r')
t = f.read(1024)
f.close()
data = t + data
print "Message + header: "+data
smtpSender = smtplib.SMTP( self.serv[0], self.serv[1] )
smtpSender.sendmail( mailfrom, rcpttos, data )
smtpSender.quit()
return None
if __name__ == "__main__":
if len(sys.argv)<4:
print "Il manque des arguments : "+sys.argv[0]+" 'serveur smtp','port','date'[, 'fichier header']"
sys.exit(2)
if len(sys.argv) == 4:
serv = mySMTP (("127.0.0.1", 8025), (sys.argv[1],sys.argv[2]),sys.argv[3])
if len(sys.argv) == 5:
serv = mySMTP (("127.0.0.1", 8025), (sys.argv[1],sys.argv[2]),sys.argv[3],sys.argv[4])
try:
asyncore.loop ()
except KeyboardInterrupt:
pass

Amusez-vous bien

Télécharger l'article au format PDF

Checker la validité d’une adresse mail en PHP via SMTP

Gaëtan — Thu, 03 Dec 2009 18:16:24 +0000

plopinou …

Il arrive toujours un jour où l’on doit checker la validité d’une adresse mail de façon sûr (plus qu’une simple vérification sur la validité du nom de domaine).
Pour ce faire il faut directement se connecter sur le SMTP du domaine de l’adresse mail via un socket en PHP et envoyer l’adresse mail à checker.

Le petit script :

/*
Error Code
-1 not an adress mail
-2 can't connect to SMTP
-3 no mx server found
-4 connection rejected
-5 our adress has been rejected
-6 this adress isn't valid
-7 problem with EHLO command
*/
function mailTester($mail)
{
if(preg_match("#^(.*)@(.*\.[a-z]{2,4})$#i",$mail,$ret))
{
$socket = socket_create(AF_INET, SOCK_STREAM, 0);
getmxrr($ret[2],$r);
if(count($r)==0)
{//try to connect directly to the server
@fsockopen($ret[2],"25",$er1,$er2,0.5); //can't use it with socket :s
if($er1>0)
return -3;//no mx server and no smtp server
$r[0]=$ret[2];
}
if(!socket_connect($socket,$r[0],"25"))
return -2;//can't connect
socket_recv($socket,$retour,1024,0);
$ret=getCodeMsg($retour);
if($ret[0]!=220)
return -4;
socket_write($socket,"EHLO google.com\n");
socket_recv($socket,$retour,1024,0);
$ret=getCodeMsg($retour);
if($ret[0]!=250)
return -7;
socket_write($socket,"MAIL FROM: \n");
socket_recv($socket,$retour,1024,0);
$ret=getCodeMsg($retour);
if($ret[0]!=250)
return -5;
socket_write($socket,"RCPT TO: <".$mail.">\n");
socket_recv($socket,$retour,1024,0);
socket_write($socket,"quit\n");//bisou
$ret =getCodeMsg($retour);
socket_close($socket);
if($ret[0]==250)
return 1;
else
return -6;
}
return -1;//not an adress mail
}
function getCodeMsg($ret)
{
preg_match("#^([0-9]+) (.*)$#im",$ret,$tab);
array_shift($tab);
return $tab;
}
?>

et hop, c’est tout, y’a pas besoin de plus d’explication en plus je pense, au pire, il y a pas mal de doc sur le procotole SMTP. (Le domaine google.com et l’adresse mailchecker sont des fakes, mais il faut fournir des domaines existants et une adresse mail pour certain serveurs SMTP, google m’a semblé être le bon choix ^^).

Si c’est lent, c’est normal, suivant les serveurs SMTP, la vérification peut prendre entre 5secs et 30secs voir plus, pour des traitements sur des lots de mail (genre des newsletters), il est possible de faire une boucle sur les RCPT TO: pour les adresses mail d’un même domaine, ce qui permet d’utiliser la connexion courrantes et évite d’ouvrir un trop grand nombre de connexion sur le serveur en question.

Télécharger l'article au format PDF

Configurer un serveur SMTP et cacher sa bannière (Exim4)

Gaëtan — Sat, 01 Aug 2009 09:46:32 +0000

Bijour à vous …

Today, la configuration d’un serveur de mail exim4 (le serveur smtp par défaut de Debian … ), à la base je voulais juste m’amuser à filer une astuce pour cacher la bannière du serveur (Il est fufu mon serveur smtp!!! Gaffe au backstab ), et pis, prendre des screenshots, c’est pas compliqué, donc ben vous aurez droits à la version complète du Grand LoupZeur … si c’est pas la lose ça . (Mon but est seulement de configurer le smtp, pas de truc anti-spam et …, y’a plein de tutos pour ça)

Sinon, quelques liens sur des tutos d’installation d’exim4 :

forum ubuntu (2005) simple install d’exim4
blog intéressant exim 4 + securité + virtual

Pour l’installation, la démarche à suivre est simple …

apt-get install exim4
dpkg-reconfigure exim4-config

Pour un dédié j’ai choisit la config internet (comme j’ai une ip fixe, je n’ai pas besoin de smarthost):

Ensuite, le nom de domaine utilisé :

L’ip sur laquelle on écoute :

Les domaines pour lesquelles on acceptes les mails (noté la séparation des domaines par :

Les relais que l’on autorise à envoyer des mails (NE JAMAIS AUTORISER TOUT LES DOMAINES, c’est le principal vecteur de spam)

et la même choses pour les ip (autorisé les ips local, si vous êtes dans un réseau local).

Les requêtes DNS (pour ma part j’ai mis non comme j’ai un serveur DNS local normalement, ça ne pose pas de problème, à part si le DNS tombe, tous les mails seront mis dans la queue … ça m’est arrivé suite à la « sécurisation » de mon serveur DNS j’ai oublié d’autoriser 127.0.0.1 à faire des requêtes DNS :p ololz le Jean-Kevin!!!! ).

Le maildir (pour ma part, /var étant plus petit que /home, pour gagner de la place je l’ai mis dans le repertoire utilisateur).

et c’est la fin ^^, on demande le split config, c’est plus simple pour le noob comme moi de comprendre la configuration du soft :

Bon donc voilà, l’ennui, c’est que lorsque l’on se connecte en telnet sur le port 25 de mon serveur, exim donne directement le nom du logiciel et sa version (sacrilège!!!).

Après avoir cherché un petit moment … voici l’astuce du Père GG :
Ouvrir le fichier /etc/exim4/conf.d/main/02_exim4-config_options (avec un éditeur plein de charme genre vi ^^).
et modifier les dernières lignes :

MAIN_SMTP_BANNER = "${primary_hostname} ESMTP Exim ${version_number} (Debian package MAIN_PACKAGE_VERSION) ${tod_full}"
smtp_banner = $smtp_active_hostname ESMTP Exim $version_number $tod_full

pour quelles ressemblent à ceci :

MAIN_SMTP_BANNER = "${primary_hostname}"
smtp_banner = $smtp_active_hostname

Et désormais lors de la connexion en telnet à la bête, ça retourne seulement le nom de ma machine (comme c’est le seul truc que les spammeurs/hackers connaissent déjà, on ne lui apprend donc rien) :

kikoo@WillOwnDaWorld:~$ telnet gaetan-grigis.eu 25
Trying mon.ip.a.moi...
Connected to gaetan-grigis.eu.
Escape character is '^]'.
220 r22686.ovh.net
quit
221 r22686.ovh.net closing connection
Connection closed by foreign host.

Et voilà, sinon, pour les petits désagrément, les stats de tentatives d’utilisation de mon serveur en tant que relais publique :

En rouge, ce sont les mails bloqués qui n’appartiennent pas à mon domaine … je vais peut-être créer une liste d’ip à bannir ^^.

Et c’est la fin … go spam Da Worldz

Télécharger l'article au format PDF

Le Blog du grand loup Zeur » smtp

Alerte d’ossec en notification sur le bureau

Articles similaires :

Envoyer des mails dans le passé

Articles similaires :

Checker la validité d’une adresse mail en PHP via SMTP

Articles similaires :

Configurer un serveur SMTP et cacher sa bannière (Exim4)

Articles similaires :