Apr. 29th, 2016

alexsokolov: (nin)
Оригинал взят у [livejournal.com profile] cybernatic_cat в Вот так нас и хакают. BlueMail. Не вляпайтесь.
Те, у кого нет устройств с Андроидом, могут дальше не читать. Хотя, мож, оно и для других ОС существует? Anyway, моё дело предупредить.

Итак. Обычно я на своих мобильных устройствах пользовал штатный ведроидовский почтовый клиент. Он меня абсолютно устраивал для задач типа "квакнуть о том, что пришла почта, пока я был в дороге, и более или менее схематически показать её мне, когда я вылезу из машины". Потом в хозяйстве появился планшет на Android 4.4, и штатный его клиент почему-то напрочь отказался коннектиться к нашему копропротивному Exchange. Ну, тоись, он просто падал при попытке запуска. Не имея никакого желания с ним бодаться, я просто тупо вынес его, а взамен поставил MailWise. В принципе, прилично, не считая нескольких мелких недочётов. Главный из которых - оно напрочь не умеет таскать почту по POP3. Только IMAP, Exchange и ещё как-то коннектор. А поскольку у меня личный почтовый сервер свой собственный (вон в шкафу стоит), но лепить туда IMAP у меня не было никакого, опять же, желания - я решил посмотреть, чего в Google Store имеется из соответствующего. Больше всего звёзд там собрала софтина под названием BlueMail. Её я и поставил, вторым клиентом на планшет. Сконфигурил ей POP3S, SMTP + STARTTLS и приготовился радоваться.

Радоваться пришлось не слишком долго. В первом же отчёте секьюрити-монитора, резвящегося на упомянутом персональном серваке, нашлось немало жалоб на ошибку аутентификации при коннектах к почтовому серверу (по понятным причинам, в логах ниже часть атрибутов заменена или изменена, но самые важные оставлены как есть):


Apr 26 03:41:11 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser rhost=54.174.128.247 user=mailuser
Apr 26 04:41:14 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser
rhost=54.174.128.247 user=mailuser
Apr 26 05:41:15 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser
rhost=54.174.128.247 user=mailuser
Apr 26 06:41:52 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser
rhost=54.174.128.247 user=mailuser
Apr 26 07:41:21 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser
rhost=54.174.128.247 user=mailuser
Apr 26 08:41:23 mailer auth: pam_unix(dovecot:auth): authentication failure; logname= uid= euid= tty=dovecot ruser=mailuser
rhost=54.174.128.247 user=mailuser



Итак, некий хост с айпишником 54.174.128.247 начал ровно раз в час ломиться ко мне на почтовый сервер по протоколу POP3S, предъявляя при этом неправильный пароль. Ресолвинг хоста дал полезной инфы чуть меньше, чем нихера:

# host 54.174.128.247
247.128.174.54.in-addr.arpa domain name pointer ec2-54-174-128-247.compute-1.amazonaws.com.

То есть, это амазоновский клауд, а в нём безымянный арендованный хост. И он точно не мой, бо у Амазона у меня нет ничего, кроме аккаунта в их магазине и их же кредитки. И раньше такой херни в логах не наблюдалось, только после установки BlueMail началось.

Следующим логичным шагом было включение дебаг-логов у Голубятни, с последующим изучением наловленного.
Дальше интересно только любителям чтения логов )

Итак, в случае, если пароль к почтовому ящику не содержит спецсимволов - некий хост с айпишником 54.174.128.247, принадлежащем сетке AWS, способен залогиниться на мой почтовик и молча выкачать мою личную почту. Более того: судя по логам, он должен делать это каждый час. После чего использовать вытащенную почту для каких-то целей (догадайтесь с двух раз, для каких именно). Или не использовать, это похую: я даже приблизительно не давал софтине разрешений производить такие операции. И я очень хотел бы пожать тестикулы гондонам-авторам, вкрячившим в софт такую хуйню.

Почему софтина обламывается на спецсимволах в пароле? Хер её знает. Скорее всего, писали пиздомозглые ебантяи-хипстеры или прочие подобные дырявые пидарасы, решившие срубить баблеца на общем современном пизданутом фоне "айда пиздить всё подряд, ибо теперь в тренде BigData и прочая торговля персональными данными юзеров" (как мы видим на данном примере - куда уже более персональными...) Писали, да наебались в коде, ибо знаний трендов чуть больше чем дохуя, а вот руки растут именно из того места, которое подобные персонажи используют в качестве мужского влагалища, только очень грязного. Хер знает, в общем - но в данном случае упомянутый баг оказался для меня натурально спасительным, иначе вся моя личная (и в некоторых аспектах довольно конфиденциальная) почта, объёмом в несколько лет, ещё вчера улетела бы хуй знает куда и хуй знает с какими перспективами...

Ну а BlueMail я, ессесьно, вынес нахер немедленно, вот только что. Чего и остальным советую. Да, и используйте спецсимволы в паролях, уж сколько раз твердили миру :).

Перепосты вполне приветствуются. Я крайне редко об этом прошу, но это именно тот случай, когда страна должна знать своих геморроев.

Update, спасибо [livejournal.com profile] dalekhin: Не я первый наступил, да.

Profile

alexsokolov: (Default)
alexsokolov

April 2016

S M T W T F S
     12
3456789
10111213141516
17181920212223
2425262728 2930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 27th, 2017 12:40 am
Powered by Dreamwidth Studios