Unbekannter Unfug

Joerg Hartmann joerg at h0815.de
So Jan 14 11:02:06 CET 2024


Hallo Alex,

laut https://tls12.xargs.org/ würde "16 03 03"  auf "client key 
exchange" passen, wenn da nicht immer diese 01 wäre.
Laut Doc sollte da 16 03 03 00 kommen, hier habe ich aber immer 16 03 03 01.
Da würde auch zuerst das client hello fehlen, das aber 16 03 01 sein 
soll (eine 03 weniger...)
Abgesehen davon wäre meine erste Vermutung dann doch "irgendwie 
richtig", das der Kram Oktal-Zahlen sein sollen (okt 26 == hex 16)
Was machen dann aber die nicht-numerischen ASCII-Char dazwischen?

Nebenbei, jetzt gibts auch eine Null-Version davon:
  postfix/smtpd[15963]: improper command pipelining after CONNECT from 
ec2-13-40-123-112.eu-west-2.compute.amazonaws.com[13.40.123.112]: 
\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000

Entweder ist das total raffiniert, oder einfach bloß kaputt.

Grüße
Jörg


Am 13.01.24 um 22:38 schrieb Alexander Joelly:
> \026\003\003 sieht nach einem TLS 1.2 Handshake aus und sollten HEX 
> Werte sein (16 03 03)
>
> lg,
> Alex
>
> On 1/13/24 21:17, Joerg Hartmann via postfix-users wrote:
>> Hallo allerseits,
>>
>> ich hab auf einer meiner Maschinen mal wieder eine neue Sorte Unfug.
>> Siehe beiliegendes Bild:
>>
>> 45760+01:00 postfix/smtpd[16432]: improper command pipelining after 
>> CONNECT from unknown[199.45.154.50]: 
>> \026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272C\360Wj\312\366^X\305\311t\334
>> 48449+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>> unknown[199.45.154.50]: 
>> \026\003\003\001\246\001\000\001\242\003\003\327t\222\333u~\322r\017\2242h\024x\227\177A\214\032\272
>>
>> 10291+01:00 handwerker postfix/smtpd[16432]: improper command 
>> pipelining after CONNECT from unknown[199.45.154.50]: 
>> \026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\332\365\t\2619T\3472\316\240\03
>> 10350+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>> unknown[199.45.154.50]: 
>> \026\003\003\001\246\001\000\001\242\003\003E5V|:D0$\254\216\035@\222\266\374d\374\035\350\251\353\3
>>
>> 47272+01:00 postfix/smtpd[16432]: connect from unknown[199.45.154.50]
>> 47338+01:00 postfix/smtpd[16432]: improper command pipelining after 
>> CONNECT from unknown[199.45.154.50]: 
>> \026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\353\246:_W\254\341&t\310\344 
>> \26
>> 47621+01:00 postfix/smtpd[16432]: warning: non-SMTP command from 
>> unknown[199.45.154.50]: 
>> \026\003\003\001W\001\000\001S\003\003\b\237q\000\276\002\210\322\271\362b\b>\312\200\253y?|\364u\35
>>
>> Ich dachte erst, das wäre irgendwie oktal codiert o.ä., es sind aber 
>> teilweise auch "Nicht-Oktale-Zeichen" dazwischen.
>> Das ist auch nix base64-codiertes. Jedenfalls kommt bei 
>> decode-Versuch nur Schruz raus.
>>
>> Allerdings fängt dieses Zeuchs immer mit "\026\003\003\001" an.
>> Kann jemand hier etwas Licht in diese Sache bringen?
>> Meine postfix-Version ist hier 3.7.9
>>
>> Grüße
>> Jörg



Mehr Informationen über die Mailingliste postfix-users