Unbekannter Unfug

[Walter H.]

Hallo,

ersteres stammt von einer IP vom Censys Laden - welcher meiner Meinung 
nach in die Luft gepufft werden sollte -
und zweiteres der DNS-Name ist Programm, dient dem Zweck eine 
Schwachstelle zu finden -> ich würd hier 'ne Abuse lostreten;

und genau dafür sollt es einen Laden geben, der sich um diesen Quark 
annimmt und dagegen wirksam vorgeht;

Grüße,
Walter

On 14.01.2024 11:02, Joerg Hartmann via postfix-users wrote:
> Hallo Alex,
>
> laut https://tls12.xargs.org/ würde "16 03 03"  auf "client key 
> exchange" passen, wenn da nicht immer diese 01 wäre.
> Laut Doc sollte da 16 03 03 00 kommen, hier habe ich aber immer 16 03 
> 03 01.
> Da würde auch zuerst das client hello fehlen, das aber 16 03 01 sein 
> soll (eine 03 weniger...)
> Abgesehen davon wäre meine erste Vermutung dann doch "irgendwie 
> richtig", das der Kram Oktal-Zahlen sein sollen (okt 26 == hex 16)
> Was machen dann aber die nicht-numerischen ASCII-Char dazwischen?
>
> Nebenbei, jetzt gibts auch eine Null-Version davon:
>  postfix/smtpd[15963]: improper command pipelining after CONNECT from 
> ec2-13-40-123-112.eu-west-2.compute.amazonaws.com[13.40.123.112]: 
> \000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000 
>
>
> Entweder ist das total raffiniert, oder einfach bloß kaputt.
>
> Grüße
> Jörg
>
>
> Am 13.01.24 um 22:38 schrieb Alexander Joelly:
>> \026\003\003 sieht nach einem TLS 1.2 Handshake aus und sollten HEX 
>> Werte sein (16 03 03)
>>
>> lg,
>> Alex
>>
>> On 1/13/24 21:17, Joerg Hartmann via postfix-users wrote:
>>> Hallo allerseits,
>>>
>>> ich hab auf einer meiner Maschinen mal wieder eine neue Sorte Unfug.
>>> Siehe beiliegendes Bild:
>>>
>>> 45760+01:00 postfix/smtpd[16432]: improper command pipelining after 
>>> CONNECT from unknown[199.45.154.50]: 
>>> \026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272C\360Wj\312\366^X\305\311t\334
>>> 48449+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>>> unknown[199.45.154.50]: 
>>> \026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272
>>>
>>> 10291+01:00 handwerker postfix/smtpd[16432]: improper command 
>>> pipelining after CONNECT from unknown[199.45.154.50]: 
>>> \026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\332\365\t\2619T\3472\316\240\03
>>> 10350+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>>> unknown[199.45.154.50]: 
>>> \026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\3
>>>
>>> 47272+01:00 postfix/smtpd[16432]: connect from unknown[199.45.154.50]
>>> 47338+01:00 postfix/smtpd[16432]: improper command pipelining after 
>>> CONNECT from unknown[199.45.154.50]: 
>>> \026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\353\246:_W\254\341&t\310\344 
>>> \26
>>> 47621+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>>> unknown[199.45.154.50]: 
>>> \026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\35
>>>
>>> Ich dachte erst, das wäre irgendwie oktal codiert o.ä., es sind aber 
>>> teilweise auch "Nicht-Oktale-Zeichen" dazwischen.
>>> Das ist auch nix base64-codiertes. Jedenfalls kommt bei 
>>> decode-Versuch nur Schruz raus.
>>>
>>> Allerdings fängt dieses Zeuchs immer mit "\026\003\003\001" an.
>>> Kann jemand hier etwas Licht in diese Sache bringen?
>>> Meine postfix-Version ist hier 3.7.9
>>>
>>> Grüße
>>> Jörg
>


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3550 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20240114/18fa0c6f/attachment.p7s>