Peter Heirich
2023-10-25 04:27:05 UTC
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): bind search: base=ou=kunde, dc=heirich, dc=name
filter=(&(mailacceptinggeneralid>
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): no fields returned by the server
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
ldap(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): lookup: user=erika
file=/etc/dovecot/cram-md5.pwd
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
passwd-file(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
pam(erika,46.148.40.112): Performing passdb lookup
Aus dem gesamten 46.148.40.0/24 Netz mit wechsenden IPs
Nicht einmal dumm gemacht.
Die suchen nach Accounts mit dem Passwort "Password:" und iterieren die
user-id offenbar nach Wörterbuch.
Vornamen, Nachnamen, Kombinationen z.b. a_schmidt oder a.schmidt, was so
übliche Umsetzungen Name -> user-id -> l-part(emailaddr) ist.
Da "Password:" ua. viele Prüfungen (!xGrossbuchstabe, 1x Kleinbuchstabe,
1x Sonderzeichen/Ziffer ) erfüllt, besteht eine gute Chance auf das
Inintialpasswort eines faulen Admins oder Echtpasswort eines dummen Users
zu treffen.
Peter
ldap(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): bind search: base=ou=kunde, dc=heirich, dc=name
filter=(&(mailacceptinggeneralid>
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): no fields returned by the server
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
ldap(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): lookup: user=erika
file=/etc/dovecot/cram-md5.pwd
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
passwd-file(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
pam(erika,46.148.40.112): Performing passdb lookup
Aus dem gesamten 46.148.40.0/24 Netz mit wechsenden IPs
Nicht einmal dumm gemacht.
Die suchen nach Accounts mit dem Passwort "Password:" und iterieren die
user-id offenbar nach Wörterbuch.
Vornamen, Nachnamen, Kombinationen z.b. a_schmidt oder a.schmidt, was so
übliche Umsetzungen Name -> user-id -> l-part(emailaddr) ist.
Da "Password:" ua. viele Prüfungen (!xGrossbuchstabe, 1x Kleinbuchstabe,
1x Sonderzeichen/Ziffer ) erfüllt, besteht eine gute Chance auf das
Inintialpasswort eines faulen Admins oder Echtpasswort eines dummen Users
zu treffen.
Peter