« edellinen seuraava »
Sivuja: [1]   Siirry alas

Kirjoittaja Aihe: [Ratkaistu] Thunderbird tietoturva tökkii??  (Luettu 2556 kertaa)

rikonen

  • Käyttäjä
  • Viestejä: 87
  • Linux for ever
    • Profiili
[Ratkaistu] Thunderbird tietoturva tökkii??
« : 26.11.13 - klo:09.02 »
Olen tässä silloin tällöin katsonut minne kone ottaa yhteyksiä ja nyt ihmettelen miten Thuderbird (24.0) näyttäisi lataavan sähköpostit ihan jostakin muualta kuin osoittamaltani palvelimelta. Lisäksi yhteys näyttäisi tapahtuvan portin 443 eikä SSL-suojatun 995 kautta jonka olen myös asettanut. Onko kenelläkään vastaavia havaintoja/ideoita jolla tutkia asiaa lisää?

Koodia: [Valitse]
sudo netstat -anp | grep -e tcp -e udp
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2219/dnsmasq    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1008/cupsd      
tcp        0      0 192.168.0.102:35379     63.245.217.105:443      ESTABLISHED 16905/thunderbird
tcp        0      0 192.168.0.102:44741     93.184.220.29:80        ESTABLISHED 16905/thunderbird
tcp        0      0 192.168.0.102:35383     63.245.217.105:443      ESTABLISHED 16905/thunderbird
tcp        0      0 192.168.0.102:44742     93.184.220.29:80        ESTABLISHED 16905/thunderbird
tcp        0      0 192.168.0.102:54974     63.245.217.20:443       ESTABLISHED 16905/thunderbird
tcp        0      0 192.168.0.102:37227     199.7.55.72:80          ESTABLISHED 16905/thunderbird
tcp6       0      0 ::1:631                 :::*                    LISTEN      1008/cupsd      
udp        0      0 127.0.0.1:53            0.0.0.0:*                           2219/dnsmasq    
udp        0      0 0.0.0.0:68              0.0.0.0:*                           16565/dhclient
Mikään noista IP-osoitteeista ei kuulu palveluntuottajalleni, olen ymmälläni.

Lisään tähän, että vika ei voi olla palveluntuottajassa, saan openssl-yhteyden palveluntuottajan porttiin 995.
« Viimeksi muokattu: 26.11.13 - klo:16.13 kirjoittanut rikonen »
Kirjattu
Be curious and open minded. Be positive.

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: Thunderbird tietoturva tökkii??
« Vastaus #1 : 26.11.13 - klo:12.58 »
IP-osoitteen käyttäjästä voi hakea tietoa WHOIS-kyselyllä. Esimerkiksi:
http://dnstest.ficora.fi/whois.php?lang=fi

63.245.217.105:443 on HTTPS-yhteys Mozilla Corporationin palvelimelle.
93.184.220.29 osoitetta käyttää Edgecast, joka on Mozillan kanssa yhteistyössä oleva sisällönjakelija.
199.7.55.72 takana on Verisign, joka ylläpitää digitaalisia sertifikaatteja.

https://support.mozillamessaging.com/fi/kb/thunderbird-makes-unrequested-connections kertoo, että Thunderbird muodostaa yhteyksiä automaattisesti ylläpito-, päivitys- ja turvallisuustarkoituksissa.

Sähköpostiliikenteessä käytettävää yhteyttä tuossa ei edes näy.
Ei mitään epäilyttävää.    
« Viimeksi muokattu: 26.11.13 - klo:13.00 kirjoittanut anttimr »
Kirjattu
Ubuntu 12.10 Quantal Quetzal

rikonen

  • Käyttäjä
  • Viestejä: 87
  • Linux for ever
    • Profiili
Vs: Thunderbird tietoturva tökkii??
« Vastaus #2 : 26.11.13 - klo:15.06 »
Lainaus käyttäjältä: anttimr - 26.11.13 - klo:12.58
IP-osoitteen käyttäjästä voi hakea tietoa WHOIS-kyselyllä. Esimerkiksi:
http://dnstest.ficora.fi/whois.php?lang=fi

63.245.217.105:443 on HTTPS-yhteys Mozilla Corporationin palvelimelle.
93.184.220.29 osoitetta käyttää Edgecast, joka on Mozillan kanssa yhteistyössä oleva sisällönjakelija.
199.7.55.72 takana on Verisign, joka ylläpitää digitaalisia sertifikaatteja.

https://support.mozillamessaging.com/fi/kb/thunderbird-makes-unrequested-connections kertoo, että Thunderbird muodostaa yhteyksiä automaattisesti ylläpito-, päivitys- ja turvallisuustarkoituksissa.

Sähköpostiliikenteessä käytettävää yhteyttä tuossa ei edes näy.
Ei mitään epäilyttävää.    

Kyllä minä tuon saman näen.... mutta kun mitään muuta yhteyttä oikeaan palveluntuottajaan ei tapahdu, niin kyllä jossain jotain vikaa on. Olen testannut yhteyttä monta kertaa eikä yhteyttä oikeaan palveluntuottajaan tapahdu vaikka sähköpostit putkahtaa perille. Miten tuo muilla pelittää?
Kirjattu
Be curious and open minded. Be positive.

nm

  • Käyttäjä
  • Viestejä: 16242
    • Profiili
Vs: Thunderbird tietoturva tökkii??
« Vastaus #3 : 26.11.13 - klo:15.38 »
Wireshark tai tcpdump sopisi paremmin tällaisten väliaikaisten yhteyksien selvittelyyn.
Kirjattu

anttimr

  • Käyttäjä
  • Viestejä: 1625
    • Profiili
Vs: Thunderbird tietoturva tökkii??
« Vastaus #4 : 26.11.13 - klo:15.46 »
Lainaus käyttäjältä: rikonen - 26.11.13 - klo:15.06

Kyllä minä tuon saman näen.... mutta kun mitään muuta yhteyttä oikeaan palveluntuottajaan ei tapahdu, niin kyllä jossain jotain vikaa on. Olen testannut yhteyttä monta kertaa eikä yhteyttä oikeaan palveluntuottajaan tapahdu vaikka sähköpostit putkahtaa perille. Miten tuo muilla pelittää?

Täytyyhän sen yhteyden tapahtua, koska posti kulkee. Toimitus on nopea ja sen jälkeen yhteys suljetaan joko palvelimen tai sähköpostiohjelman toimesta. Siksei näy netstatin listauksessa?
Kirjattu
Ubuntu 12.10 Quantal Quetzal

rikonen

  • Käyttäjä
  • Viestejä: 87
  • Linux for ever
    • Profiili
Vs: Thunderbird tietoturva tökkii??
« Vastaus #5 : 26.11.13 - klo:16.12 »
Lainaus käyttäjältä: nm - 26.11.13 - klo:15.38
Wireshark tai tcpdump sopisi paremmin tällaisten väliaikaisten yhteyksien selvittelyyn.

Olet oikeassa, komennolla
Koodia: [Valitse]
sudo tcpdump -nn -i eth0 port 995 näkyy että data liikkuu oikeaan osoitteeseen ja porttiin. Netstat ei näyttä kaikkea liikennettä eikä siten sovellu tähän.
Kiitos, kaikki kunnossa taas :)
Kirjattu
Be curious and open minded. Be positive.
Sivuja: [1]   Siirry ylös
« edellinen seuraava »