Hallo Leute,
ich habe da ein riesen Problem.
Bei einem Kunden wird der Dominoserver über die Konsole von einem Hacker heruntergefahren.
Folgendes erscheint dann auf der Konsole:
> 61.173.xx.xxx (mit x verstecke ich nur die echte Adresse)
> Message 0056C
> 23.176 size 3
> 61.173.xx.xxx
> e
Der Server wird dann heruntergefahren.
Ist da ein Buck?
Domino 6.0.1 cf1
Gruß
Markus
wie kommt der hacker drauf `Über http ? Mit ein notes client `?´
6.0.1 cf1 ist ein problemfall.. bitte schnelst möglich auf 6.0.2 cf2 oder 6.0.3 gehen...
Hallo Ronka,
ich habe keine Ahnung wie der Angreifer auf den Server kommt.
Irgendwie hat er Zugriff auf die Console.
Ich habe von extern versucht mit einer Telnetsession über den Port 25, 110 usw. reinzukommen, keine Chance.
Wie kommt der Angreifer rein? Oder ist er vieleicht über einen POP User-Account auf den Server und führt dann was aus?
Ich dachte erst das er vieleicht ein Script an einen User sendet, aber das kann es nicht sein. Da dieses aufgrund der ECL nicht ausgeführt wird, es sei den ein bestimmter Admin hat es signiert.
Ich habe keine Ahnung wie er das macht.
Leider funktioniert auch die Fix List Database bei IBM nicht mehr.
Bin für jeden weiteren Tip dankbar.
Gruß
Markus
Wenn Du willst, kann ich mal einen externen Portscan auf den Server ausführen. Schick mir die IP als PM
noch ne IDEE
Stichwort webadmin.nsf bzw. webadmin.ntf
Wenn du die webadmin nicht benötigst, solltest Du sie deaktivieren. Ob es wieder ein Loch wie unter R5 gibt, wo man die Authentifizierung durch eine spez. URL übergehen konnte weiß ich nicht - es ist aber auch nicht auszuschließen. Evtl ist die DB auch einfach nur so "offen" ...
Hi,
ich dachte das Problem war nur bis R5.0.9 vorhanden?
Aber ich werde das mal testen, obwohl ich denke das es wohl ein neues Problem ist. Aber der Hinweis das er vieleicht über die Webadmin auf die Console kommt erscheint mir als plausiebel.
Werde dennoch auch mal auf 6.5 updaten.
Wie gesagt die IP sende ich dir mal.
Danke für die HIlfe.
Gruß
Markus
