Вопрос

Michael Dukelsky написал(а) к Oleg Pevzner в Nov 15 15:33:04 по местному времени:

Привет, Oleg!

07 Nov 15 13:49, Oleg Pevzner послал(а) письмо к All:

OP> Утерян пароль на сессию с одним очень старым автопилотным узлом.
OP> Писать, искать сисопа сегодня нереально. В то же время сессии с этим
OP> узлом продолжают поступать, периодически я вижу их у себя в логах.
OP> Пытался вспомнить, подбирать пароль на своей стороне, но не
OP> получается. У меня вопрос - могу ли я, каким-нибудь образом
OP> изощрившись, увидеть пароль, который предъявляет моему бинкду
OP> удаленная сторона? Простое поднятие уровня логирования до максимума не
OP> помогло. Что еще можно сделать для этого? Спасибо.

Запусти wireshark и увидишь абсолютно всё, что передаётся.

Желаю успехов, Oleg!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20100314

Oleg Pevzner написал(а) к Michael Dukelsky в Nov 15 16:26:35 по местному времени:

Нello Michael!

Saturday November 07 2015 15:33, you wrote to me:

MD> Запусти wireshark и увидишь абсолютно всё, что передаётся.

Идея здравая, за идею спасибо. Думал об этом, но фокус в том, что этот узел
не имеет постоянного IP, звонит ко мне примерно раз в сутки в случайное время,
получает отлуп по неверному паролю и тут же отваливается. Как в таких условиях
настроить ловушку конкретно на него, не вполне понятно. Просто тупо настроить ловушку на 24554-й порт - я замучаюсь потом в трафике разбираться, у меня же под сотню линков на узле.

WBR, Oleg Saturday November 07 2015
E-Mail: omp<no-spam>omp.dp.ua

--- XStation

Michael Dukelsky написал(а) к Oleg Pevzner в Nov 15 18:43:14 по местному времени:

Привет, Oleg!

07 Nov 15 16:26, Oleg Pevzner послал(а) письмо к Michael Dukelsky:

MD>> Запусти wireshark и увидишь абсолютно всё, что передаётся.
OP> Идея здравая, за идею спасибо. Думал об этом, но фокус в том, что
OP> этот узел не имеет постоянного IP, звонит ко мне примерно раз в сутки
OP> в случайное время, получает отлуп по неверному паролю и тут же
OP> отваливается. Как в таких условиях настроить ловушку конкретно на
OP> него, не вполне понятно. Просто тупо настроить ловушку на 24554-й порт
OP> - я замучаюсь потом в трафике разбираться, у меня же под сотню линков
OP> на узле.

В случайное время? Хм... Тогда объём лога за сутки может оказаться слишком большим. В качестве сырой идеи: в binkd есть Perl hooks. В onhandshake() анализируешь адрес позвонившего, если это он, запускаешь запись, а в onerror() запись прекращаешь.

Желаю успехов, Oleg!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20100314

Max Vasilyev написал(а) к Oleg Pevzner в Nov 15 20:27:54 по местному времени:

Нello Oleg!

07 Nov 15 15:33, Michael Dukelsky wrote to you:

OP>> Утерян пароль на сессию с одним очень старым автопилотным
MD> Запусти wireshark и увидишь абсолютно всё, что передаётся.
А еще поставь -nomd для этого линка.
Тогда пароль тебе будет идти в plain text, что заметно упростит задачу.

WBR, Max. piwamoto!писем-нет
--- скучаю по FleetStreet'у :-(((

Oleg Pevzner написал(а) к Michael Dukelsky в Nov 15 18:43:48 по местному времени:

Нello Michael!

Saturday November 07 2015 18:43, you wrote to me:

MD> В случайное время? Хм... Тогда объём лога за сутки может оказаться
MD> слишком большим. В качестве сырой идеи: в binkd есть Perl hooks. В
MD> on_handshake() анализируешь адрес позвонившего, если это он,
MD> запускаешь запись, а в on_error() запись прекращаешь.

Возможно и так... Тут еще подумалось вот о чем. Я же не зря через штатное логирование хотел это дело ловить, возможно, в каком-нибудь хитром debug-режиме и т.п. Пароль, скорее всего, зашифрованным будет, даже если мне его удастся словить wireshark'ом.
Скорее всего, при желании я действительно пакет с паролем перехвачу, но что я потом смогу с ним сделать? Попытаться взламывать
шифр, конечно, можно, но не думаю, что это - благодарный труд, потому вот пытаюсь изыскать все же какие-нибудь более-менее штатные
механизмы разрешения такой ситуации.

WBR, Oleg Saturday November 07 2015
E-Mail: omp<no-spam>omp.dp.ua

--- XStation

Max Vasilyev написал(а) к Oleg Pevzner в Nov 15 21:27:50 по местному времени:

Нello Oleg!

07 Nov 15 20:27, I wrote to you:

OP>>> Утерян пароль на сессию с одним очень старым автопилотным
MD>> Запусти wireshark и увидишь абсолютно всё, что передаётся.
MV> А еще поставь -nomd для этого линка.
MV> Тогда пароль тебе будет идти в plain text, что заметно упростит
MV> задачу.
Для начала надо твой binkd запустить с ключом
-m disable CRAM-MD5 authorization
И тогда оно пишет в лог само:
? 07 Nov 21:22:38 [4736] `PaZzw0rd': incorrect password
Но это в случае, если на той стороне не стоит принудительно -md на тебя.

WBR, Max. piwamoto!писем-нет
--- скучаю по FleetStreet'у :-(((

Oleg Pevzner написал(а) к Max Vasilyev в Nov 15 23:39:24 по местному времени:

Нello Max!

Saturday November 07 2015 20:27, you wrote to me:

MV> А еще поставь -nomd для этого линка.
MV> Тогда пароль тебе будет идти в plain text, что заметно упростит
MV> задачу.

О-о, вот за это действительно спасибо, потому, как сижу как раз и ломаю голову, что сделаю потом с перехваченным зашифрованным паролем. :)

WBR, Oleg Saturday November 07 2015
E-Mail: omp<no-spam>omp.dp.ua

--- XStation

Oleg Pevzner написал(а) к Max Vasilyev в Nov 15 23:41:16 по местному времени:

Нello Max!

Saturday November 07 2015 21:27, you wrote to me:

MV> Для начала надо твой binkd запустить с ключом
MV> -m disable CRAM-MD5 authorization
MV> И тогда оно пишет в лог само:
MV> ? 07 Nov 21:22:38 [4736] `PaZzw0rd': incorrect password
MV> Но это в случае, если на той стороне не стоит принудительно -md на
MV> тебя.

К сожалению, я сейчас совершенно не в курсе, что вообще оттуда на меня идет.
Потому и хотелось бы взглянуть на эти запросы, потом решить, что с ними делать,
как и с самим этим линком. Здравый смысл подсказывает, что сохранять совсем уж
автопилотные линки - не лучшее фидошное решение, но, прежде, чем рубить его, хочется посмотреть, что же он все же так настойчиво, уже на протяжении почти нескольких лет хочет от моего узла? :)

WBR, Oleg Saturday November 07 2015
E-Mail: omp<no-spam>omp.dp.ua

--- XStation

Sergey Zabolotny написал(а) к Pavel Gulchouck в Nov 15 16:53:48 по местному времени:

Нello Pavel.

Sunday 08 November 2015 22:18, Pavel Gulchouck wrote to Alexey Vissarionov:

PG> Ну и совет запустить binkd с опцией "-m", чтобы получить открытый
PG> пароль - правильный. Вряд ли у него в твою сторону прописано "-md"
PG> (т.е. запрет отсылать открытый пароль). Эта опция действует на все
это чтож получается такая вот дырень? если я не пропишу каждому из своих линков этот -md то любой прикинувшийся моим линком может посмотреть пароль этого линка?

--- GoldED+ 1.1.5-031023 (WinNT 5.1.2600-ServicePack3 i1586)

Pavel Gulchouck написал(а) к Sergey Zabolotny в Nov 15 17:19:04 по местному времени:

Нi Sergey!

09 Nov 15, Sergey Zabolotny ==> Pavel Gulchouck:

PG>> Ну и совет запустить binkd с опцией "-m", чтобы получить открытый
PG>> пароль - правильный. Вряд ли у него в твою сторону прописано "-md"
PG>> (т.е. запрет отсылать открытый пароль). Эта опция действует на все

SZ> это чтож получается такая вот дырень? если я не пропишу каждому из своих линков этот -md то любой прикинувшийся моим
SZ> линком может посмотреть пароль этого линка?

Любой, кому ты_сам звонишь.
Собственно, в pstn, если ты не туда попал, то тот, куда ты попал, сразу получает в emsi твой пароль.

Но вообще - конечно, можно опцию -md прописать в defnode, чтобы она была включена для всех линков по умолчанию.
Есть, правда, опасность, что линки со старым binkd или с другими мейлерами, поддерживающими только plaintext password, могут при этом отвалиться.

Lucky carrier,
Паша
aka gul@gul.kiev.ua
--- GoldED+/LNX 1.1.5