Hackers in Dovecot

Discussion:

Hackers in Dovecot

(te oud om op te antwoorden)

Jaap

2022-12-16 14:35:31 UTC

Ik zie in mijn logging nogal veel regels langskomen als:

Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143
Dec 8 06:30:57 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=201.28.50.174
Dec 8 10:19:42 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=***@xxx.nl
rhost=201.28.105.119
Dec 8 10:19:50 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=2.55.110.225

Nu zijn de wachtwoorden lang en moeilijk te gokken, maar ik wil liever
helemaal geen hack pogingen. Ik heb dus poort 110, 143, 993 en 995
dichtgezet voor bijna alle ip adressen behalve de mijne. Dit zijn de
poorten waar dovecot naar luistert volgens `lsof -i -P -n `

Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Bedankt,
Jaap

tjoen

2022-12-16 17:25:59 UTC

Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143
Dec 8 06:30:57 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=201.28.50.174
Dec 8 10:19:42 floriel auth: pam_unix(dovecot:auth): authentication
rhost=201.28.105.119

Allemaal Brazilie

Dec 8 10:19:50 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=2.55.110.225

Unclear

Nu zijn de wachtwoorden lang en moeilijk te gokken, maar ik wil liever
helemaal geen hack pogingen. Ik heb dus poort 110, 143, 993 en 995
dichtgezet voor bijna alle ip adressen behalve de mijne. Dit zijn de
poorten waar dovecot naar luistert volgens `lsof -i -P -n `
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Bestaat er een blocklist voor Brazilie?

Coen

2022-12-16 19:55:10 UTC

Ik heb dus ... dichtgezet voor bijna alle ip adressen behalve de mijne.
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Dat kan dus niet.
Dan heb je iets niet goed zitten met je firewall regels.

Eventueel kan iets als fail2ban helpen om IP-adressen na X login
pogingen te blokkeren.

Gĳs Hillenius

2022-12-17 07:37:11 UTC

Post by Jaap
Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143
Dec 8 06:30:57 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=201.28.50.174
Dec 8 10:19:42 floriel auth: pam_unix(dovecot:auth): authentication
rhost=201.28.105.119
Dec 8 10:19:50 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=2.55.110.225
Nu zijn de wachtwoorden lang en moeilijk te gokken, maar ik wil liever
helemaal geen hack pogingen. Ik heb dus poort 110, 143, 993 en 995
dichtgezet voor bijna alle ip adressen behalve de mijne. Dit zijn de
poorten waar dovecot naar luistert volgens `lsof -i -P -n `
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Fail2ban?

bijvoorbeeld
https://doc.dovecot.org/configuration_manual/howto/fail2ban/

Jaap

2022-12-18 16:09:31 UTC

Post by GÄ³s Hillenius

Post by Jaap
Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143

<knip>

Post by GÄ³s Hillenius

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Fail2ban?
bijvoorbeeld
https://doc.dovecot.org/configuration_manual/howto/fail2ban/

Fail2ban staat al aan, maar het is waarschijnlijk een hackerscollectief.
Er zijn soms wel honderden pogingen per dag, maar dan ook van honderden
verschillende IP adressen.

Jaap

Paul van der Vlis

2022-12-17 14:59:41 UTC

Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143
Dec 8 06:30:57 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=201.28.50.174
Dec 8 10:19:42 floriel auth: pam_unix(dovecot:auth): authentication
rhost=201.28.105.119
Dec 8 10:19:50 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla rhost=2.55.110.225
Nu zijn de wachtwoorden lang en moeilijk te gokken, maar ik wil liever
helemaal geen hack pogingen. Ik heb dus poort 110, 143, 993 en 995
dichtgezet voor bijna alle ip adressen behalve de mijne. Dit zijn de
poorten waar dovecot naar luistert volgens `lsof -i -P -n `
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.

Kijk eens naar het resultaat met "iptables -n -L".

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Paul van der Vlis

2022-12-17 15:12:51 UTC

Post by Paul van der Vlis

Dec 8 06:30:47 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=177.43.179.143
Dec 8 06:30:57 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=201.28.50.174
Dec 8 10:19:42 floriel auth: pam_unix(dovecot:auth): authentication
rhost=201.28.105.119
Dec 8 10:19:50 floriel auth: pam_unix(dovecot:auth): authentication
failure; logname= uid=0 euid=0 tty=dovecot ruser=blabla
rhost=2.55.110.225
Nu zijn de wachtwoorden lang en moeilijk te gokken, maar ik wil liever
helemaal geen hack pogingen. Ik heb dus poort 110, 143, 993 en 995
dichtgezet voor bijna alle ip adressen behalve de mijne. Dit zijn de
poorten waar dovecot naar luistert volgens `lsof -i -P -n `
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Jaap

2022-12-18 16:29:53 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed. Geeft aan dat poort 110, 143, 993 en 995 netjes
dicht staan. Kennelijk staat er toch ergens iets anders open...

Jaap

Paul van der Vlis

2022-12-19 08:49:11 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Alleen voor een bepaald interface, of voor alles ? Je zou wat met ons
kunnen delen.

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed. Geeft aan dat poort 110, 143, 993 en 995 netjes
dicht staan. Kennelijk staat er toch ergens iets anders open...

Wat ik me nog kan voorstellen is:

Aanvallen vanaf localhost. Dus dat ze al op je computer zitten op een
andere manier.

Aanvallen via een ander IP, dus dat je computer meerdere IP's heeft.

Aanvallen via iets wat je toestaat, dus bijvoorbeeld een lokaal netwerk.
Een ander apparaat in je netwerk zou kunnen zijn gehacked.

Wat ik zou gaan doen denk ik, is mijn firewall laten loggen. Ik heb van
dit soort regeltjes in mijn firewall, vrij aan het begin:

# chains maken voor loggen:
$IPTABLES -N logdrop
$IPTABLES -A logdrop -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logdrop -j DROP
$IPTABLES -N logaccept
$IPTABLES -A logaccept -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logaccept -j ACCEPT
$IPTABLES -N logreject
$IPTABLES -A logreject -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logreject -j REJECT

Als ik dan iets wil loggen verander ik b.v. "ACCEPT" in "logaccept" en
dan logt hij dat. Misschien heb je er wat aan.

Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Jaap

2022-12-21 08:33:31 UTC

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Alleen voor een bepaald interface, of voor alles ? Je zou wat met ons
kunnen delen.

Ik heb hier de output van iptables -nL

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-apache-401 tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 80,443
f2b-dovecot tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 0:65535
f2b-postfix tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 25,465,587
email tcp -- 0.0.0.0/0 0.0.0.0/0
jaap tcp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate
RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain jaap (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 172.16.0.0/12 0.0.0.0/0
ACCEPT tcp -- 45.138.230.253 0.0.0.0/0 tcp
ACCEPT tcp -- 80.101.98.161 0.0.0.0/0 tcp
ACCEPT tcp -- 86.83.140.101 0.0.0.0/0 tcp
ACCEPT tcp -- 84.84.235.56 0.0.0.0/0 tcp
ACCEPT tcp -- 86.87.176.224 0.0.0.0/0 tcp
multiport dports 22,2003
DROP all -- 60.160.0.0/11 0.0.0.0/0
DROP all -- 60.208.0.0/13 0.0.0.0/0
<enz, enz, vooral China, Brazilie etc>
DROP all -- 212.192.216.0/22 0.0.0.0/0
DROP all -- 39.128.0.0/10 0.0.0.0/0
DROP all -- 58.192.0.0/10 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
multiport dports 25,80,443,587
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2003
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate
RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:8126
ACCEPT udp -- 0.0.0.0/0 172.17.0.2 udp dpt:8125
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2024
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2023
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2004
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:2003
ACCEPT tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:80

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain emailx (0 references)
target prot opt source destination

Chain email (1 references)
target prot opt source destination
ACCEPT tcp -- 31.161.128.0/18 0.0.0.0/0 tcp
multiport dports 993,995
ACCEPT tcp -- 77.63.0.0/16 0.0.0.0/0 tcp
multiport dports 993,995
ACCEPT tcp -- 83.232.0.0/18 0.0.0.0/0 tcp
multiport dports 993,995
ACCEPT tcp -- 188.207.0.0/17 0.0.0.0/0 tcp
multiport dports 993,995
ACCEPT tcp -- 45.83.6.0/23 0.0.0.0/0 tcp
multiport dports 993,995
ACCEPT tcp -- 45.138.228.0/22 0.0.0.0/0 tcp
multiport dports 993,995

Chain f2b-postfix (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain f2b-dovecot (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain f2b-apache-401 (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed. Geeft aan dat poort 110, 143, 993 en 995
netjes dicht staan. Kennelijk staat er toch ergens iets anders open...

Aanvallen vanaf localhost. Dus dat ze al op je computer zitten op een
andere manier.

Ik heb niets gemerkt, maar ja, dat zegt niet alles. Ik zou dan eerder
verwachten dat ik helemaal geen ip adressen zie.

Aanvallen via een ander IP, dus dat je computer meerdere IP's heeft.

Er is maar 1 IP adres op eno1:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
link/ether 4c:72:b9:66:ad:1d brd ff:ff:ff:ff:ff:ff
inet 178.32.217.177/24 brd 178.32.217.255 scope global dynamic eno1
valid_lft 64574sec preferred_lft 64574sec
inet6 fe80::4e72:b9ff:fe66:ad1d/64 scope link
valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
state UP group default
link/ether 02:42:fb:9a:b4:b2 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
valid_lft forever preferred_lft forever
inet6 fe80::42:fbff:fe9a:b4b2/64 scope link
valid_lft forever preferred_lft forever
6765: ***@if6764: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
qdisc noqueue master docker0 state UP group default
link/ether 86:01:86:e7:82:01 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet6 fe80::8401:86ff:fee7:8201/64 scope link
valid_lft forever preferred_lft forever

Aanvallen via iets wat je toestaat, dus bijvoorbeeld een lokaal netwerk.
Een ander apparaat in je netwerk zou kunnen zijn gehacked.

Het is een server bij OVH, dus ik heb werkelijk geen idee wie er nog
meer op het netwerk zitten. Maar volgens mij komt zelfs iemand met een
IP adres 'naast' heb mijne niet naar binnen.

Wat ik zou gaan doen denk ik, is mijn firewall laten loggen. Ik heb van
$IPTABLES -N logdrop
$IPTABLES -A logdrop -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logdrop -j DROP
$IPTABLES -N logaccept
$IPTABLES -A logaccept -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logaccept -j ACCEPT
$IPTABLES -N logreject
$IPTABLES -A logreject -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logreject -j REJECT

Dat ga ik nog even uitzoeken, vooral logaccept is in dit geval
natuurlijk interessant.

Als ik dan iets wil loggen verander ik b.v. "ACCEPT" in "logaccept" en
dan logt hij dat. Misschien heb je er wat aan.
Groet,
Paul

Coen

2022-12-21 18:59:48 UTC

On 21-12-2022 09:33, Jaap wrote:

Nu komen we ergens.
Om nog meer output te hebben zou je een iptables -vnL kunnnen doen.
Dan krijg je de packet counters erbij waarmee je kan zien welke rules
veel hits hebben.

Post by Jaap
Ik heb hier de output van iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-apache-401 tcp -- 0.0.0.0/0      0.0.0.0/0            multiport
dports 80,443
f2b-dovecot tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 0:65535
f2b-postfix tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 25,465,587
email      tcp -- 0.0.0.0/0           0.0.0.0/0
jaap       tcp -- 0.0.0.0/0           0.0.0.0/0

Ok, dat ziet er redelijk uit, alhoewel de poorten voor f2b-dovecot met
0-65535 wel erg breed zijn opgezet.

Post by Jaap
Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER all -- 0.0.0.0/0            0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0            ctstate
RELATED,ESTABLISHED
DOCKER     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT) > target     prot opt source               destination

Geen commentaar op.

Post by Jaap
Chain jaap (1 references)
target     prot opt source               destination
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 172.16.0.0/12        0.0.0.0/0
ACCEPT     tcp -- 45.138.230.253       0.0.0.0/0            tcp
ACCEPT     tcp -- 80.101.98.161        0.0.0.0/0            tcp
ACCEPT     tcp -- 86.83.140.101        0.0.0.0/0            tcp
ACCEPT     tcp -- 84.84.235.56         0.0.0.0/0            tcp
ACCEPT     tcp -- 86.87.176.224        0.0.0.0/0            tcp
multiport dports 22,2003
DROP       all -- 60.160.0.0/11        0.0.0.0/0
DROP       all -- 60.208.0.0/13        0.0.0.0/0
<enz, enz, vooral China, Brazilie etc>
DROP       all -- 212.192.216.0/22     0.0.0.0/0
DROP       all -- 39.128.0.0/10        0.0.0.0/0
DROP       all -- 58.192.0.0/10        0.0.0.0/0
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0            tcp
multiport dports 25,80,443,587
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp dpt:22
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp dpt:2003
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0            ctstate
RELATED,ESTABLISHED
DROP       all -- 0.0.0.0/0            0.0.0.0/0

Hier gaat het met regel 1 helemaal mis.
Deze rule accepteert *al* het verkeer. Wat daarna komt doet niets meer.

Post by Jaap
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:8126
ACCEPT     udp -- 0.0.0.0/0            172.17.0.2           udp dpt:8125
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2024
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2023
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2004
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2003
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:80
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0            0.0.0.0/0
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain DOCKER-USER (1 references)
target     prot opt source               destination > RETURN     all -- 0.0.0.0/0            0.0.0.0/0

Prima...

Post by Jaap
Chain emailx (0 references) > target prot opt source destination

Loos

Post by Jaap
Chain email (1 references)
target     prot opt source               destination
ACCEPT     tcp -- 31.161.128.0/18      0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 77.63.0.0/16         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 83.232.0.0/18        0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 188.207.0.0/17       0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.83.6.0/23         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.138.228.0/22      0.0.0.0/0            tcp
multiport dports 993,995

Hier zitten de rules vanaf welke poorten je imaps en pop3s toestaat.
Maar aangezien chain jaap daarna op de eerste regel alles toestaat zal
ook echt alles open staan. Inclusief imap, ssh en pop3.

Overigens wil je vaak wel een uitzondering maken voor verkeer op het lan
en de loopback interface.

Post by Jaap
Chain f2b-postfix (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all -- 0.0.0.0/0            0.0.0.0/0
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain f2b-dovecot (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain f2b-apache-401 (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0

Prima.

Post by Jaap
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
    link/ether 4c:72:b9:66:ad:1d brd ff:ff:ff:ff:ff:ff
    inet 178.32.217.177/24 brd 178.32.217.255 scope global dynamic eno1
       valid_lft 64574sec preferred_lft 64574sec
    inet6 fe80::4e72:b9ff:fe66:ad1d/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
state UP group default
    link/ether 02:42:fb:9a:b4:b2 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:fbff:fe9a:b4b2/64 scope link
       valid_lft forever preferred_lft forever
qdisc noqueue master docker0 state UP group default
    link/ether 86:01:86:e7:82:01 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::8401:86ff:fee7:8201/64 scope link
       valid_lft forever preferred_lft forever

Eventuele aliassen zie je met ifconfig meestal niet (meer).
Ik weet niet welke distributie dit is, maar je zou voor de zekerheid
ip -a kunnen proberen. (misschien is dit trouwens wel al ip...)

Op het ip-adres wat daar zichtbaar is zie ik geen mail services draaien.
Wel smtp naar geen pop3/imap/imaps/pop3s.

Dus misschien heb je inmiddels het lek gedicht.

gr,
Coen

Jaap

2022-12-25 10:35:47 UTC

Post by Coen
Nu komen we ergens.
Om nog meer output te hebben zou je een iptables -vnL kunnnen doen.
Dan krijg je de packet counters erbij waarmee je kan zien welke rules
veel hits hebben.

Dat heb ik nu op https://www.tsbd.nl/iptables-nvL-xx12594zz.txt gezet
Dank!

Post by Jaap
Ik heb hier de output van iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-apache-401 tcp -- 0.0.0.0/0      0.0.0.0/0            multiport
dports 80,443
f2b-dovecot tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 0:65535
f2b-postfix tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 25,465,587
email      tcp -- 0.0.0.0/0           0.0.0.0/0
jaap       tcp -- 0.0.0.0/0           0.0.0.0/0

Ok, dat ziet er redelijk uit, alhoewel de poorten voor f2b-dovecot met
0-65535 wel erg breed zijn opgezet.

Dit heb ik aangepast naar de dovecot poorten.

Post by Coen
Geen commentaar op.

Post by Jaap
Chain jaap (1 references)
target     prot opt source               destination
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 172.16.0.0/12        0.0.0.0/0
ACCEPT     tcp -- 45.138.230.253       0.0.0.0/0            tcp
ACCEPT     tcp -- 80.101.98.161        0.0.0.0/0            tcp
ACCEPT     tcp -- 86.83.140.101        0.0.0.0/0            tcp
ACCEPT     tcp -- 84.84.235.56         0.0.0.0/0            tcp
ACCEPT     tcp -- 86.87.176.224        0.0.0.0/0            tcp
multiport dports 22,2003
DROP       all -- 60.160.0.0/11        0.0.0.0/0
DROP       all -- 60.208.0.0/13        0.0.0.0/0
<enz, enz, vooral China, Brazilie etc>
DROP       all -- 212.192.216.0/22     0.0.0.0/0
DROP       all -- 39.128.0.0/10        0.0.0.0/0
DROP       all -- 58.192.0.0/10        0.0.0.0/0
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0            tcp
multiport dports 25,80,443,587
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp dpt:22
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp
dpt:2003
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0            ctstate
RELATED,ESTABLISHED
DROP       all -- 0.0.0.0/0            0.0.0.0/0

Hier gaat het met regel 1 helemaal mis.
Deze rule accepteert *al* het verkeer. Wat daarna komt doet niets meer.

De regel met -nvL is:
1 124 69532 ACCEPT all -- lo * 0.0.0.0/0
0.0.0.0/0

Dus enkel op interface 'lo', dus dat zou toch goed moeten gaan dank ik.

Post by Jaap
Chain emailx (0 references) > target prot opt source
destination

Loos

Restje van test, maar heb ik snel gewist.

Post by Jaap
Chain email (1 references)
target     prot opt source               destination
ACCEPT     tcp -- 31.161.128.0/18      0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 77.63.0.0/16         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 83.232.0.0/18        0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 188.207.0.0/17       0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.83.6.0/23         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.138.228.0/22      0.0.0.0/0            tcp
multiport dports 993,995

Hier zitten de rules vanaf welke poorten je imaps en pop3s toestaat.
Maar aangezien chain jaap daarna op de eerste regel alles toestaat zal
ook echt alles open staan. Inclusief imap, ssh en pop3.
Overigens wil je vaak wel een uitzondering maken voor verkeer op het lan
en de loopback interface.

Zie boven, die staat dus in de eerste regel.

Post by Jaap
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1000
     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
     inet 127.0.0.1/8 scope host lo
        valid_lft forever preferred_lft forever
     inet6 ::1/128 scope host
        valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
     link/ether 4c:72:b9:66:ad:1d brd ff:ff:ff:ff:ff:ff
     inet 178.32.217.177/24 brd 178.32.217.255 scope global dynamic eno1
        valid_lft 64574sec preferred_lft 64574sec
     inet6 fe80::4e72:b9ff:fe66:ad1d/64 scope link
        valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
state UP group default
     link/ether 02:42:fb:9a:b4:b2 brd ff:ff:ff:ff:ff:ff
     inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
        valid_lft forever preferred_lft forever
     inet6 fe80::42:fbff:fe9a:b4b2/64 scope link
        valid_lft forever preferred_lft forever
qdisc noqueue master docker0 state UP group default
     link/ether 86:01:86:e7:82:01 brd ff:ff:ff:ff:ff:ff link-netnsid 0
     inet6 fe80::8401:86ff:fee7:8201/64 scope link
        valid_lft forever preferred_lft forever

Eventuele aliassen zie je met ifconfig meestal niet (meer).
Ik weet niet welke distributie dit is, maar je zou voor de zekerheid
ip -a kunnen proberen. (misschien is dit trouwens wel al ip...)

Het is Debian, dit was de uitvoer van `ip address`

Post by Coen
Op het ip-adres wat daar zichtbaar is zie ik geen mail services draaien.
Wel smtp naar geen pop3/imap/imaps/pop3 >
Dus misschien heb je inmiddels het lek gedicht.

Voor de meeste ip adressen wel, maar de hackpogingen blijven binnen
komen tot mijn verbazing.

Nogmaals dank voor al je uitpluiswerk. Mocht ik achter de definitieve
oplossing komen laat ik het zeker weten.

Paul van der Vlis

2022-12-22 10:55:14 UTC

Hallo Jaap,

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Alleen voor een bepaald interface, of voor alles ? Je zou wat met ons
kunnen delen.

Ik heb hier de output van iptables -nL
Chain INPUT (policy ACCEPT)

Wat je hiermee zegt is dat je alle input accepteert, tenzij je het in
volgende regels expliciet weigert.

Dat is geen goed idee, want je normaal doet is de policy op DROP zetten,
en dan geef je daarna expliciet aan wat je wilt toestaan.

Verder even geen reactie, want andere dingen houden me bezig.

Groet,
Paul

Post by Jaap
target     prot opt source               destination
f2b-apache-401 tcp -- 0.0.0.0/0      0.0.0.0/0            multiport
dports 80,443
f2b-dovecot tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 0:65535
f2b-postfix tcp -- 0.0.0.0/0         0.0.0.0/0            multiport
dports 25,465,587
email      tcp -- 0.0.0.0/0           0.0.0.0/0
jaap       tcp -- 0.0.0.0/0           0.0.0.0/0
Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER all -- 0.0.0.0/0            0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0            ctstate
RELATED,ESTABLISHED
DOCKER     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain jaap (1 references)
target     prot opt source               destination
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     all -- 172.16.0.0/12        0.0.0.0/0
ACCEPT     tcp -- 45.138.230.253       0.0.0.0/0            tcp
ACCEPT     tcp -- 80.101.98.161        0.0.0.0/0            tcp
ACCEPT     tcp -- 86.83.140.101        0.0.0.0/0            tcp
ACCEPT     tcp -- 84.84.235.56         0.0.0.0/0            tcp
ACCEPT     tcp -- 86.87.176.224        0.0.0.0/0            tcp
multiport dports 22,2003
DROP       all -- 60.160.0.0/11        0.0.0.0/0
DROP       all -- 60.208.0.0/13        0.0.0.0/0
<enz, enz, vooral China, Brazilie etc>
DROP       all -- 212.192.216.0/22     0.0.0.0/0
DROP       all -- 39.128.0.0/10        0.0.0.0/0
DROP       all -- 58.192.0.0/10        0.0.0.0/0
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0            tcp
multiport dports 25,80,443,587
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp dpt:22
DROP       tcp -- 0.0.0.0/0            0.0.0.0/0            tcp dpt:2003
ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0            ctstate
RELATED,ESTABLISHED
DROP       all -- 0.0.0.0/0            0.0.0.0/0
Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:8126
ACCEPT     udp -- 0.0.0.0/0            172.17.0.2           udp dpt:8125
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2024
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2023
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2004
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:2003
ACCEPT     tcp -- 0.0.0.0/0            172.17.0.2           tcp dpt:80
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0            0.0.0.0/0
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain emailx (0 references)
target     prot opt source               destination
Chain email (1 references)
target     prot opt source               destination
ACCEPT     tcp -- 31.161.128.0/18      0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 77.63.0.0/16         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 83.232.0.0/18        0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 188.207.0.0/17       0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.83.6.0/23         0.0.0.0/0            tcp
multiport dports 993,995
ACCEPT     tcp -- 45.138.228.0/22      0.0.0.0/0            tcp
multiport dports 993,995
Chain f2b-postfix (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all -- 0.0.0.0/0            0.0.0.0/0
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain f2b-dovecot (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0
Chain f2b-apache-401 (1 references)
target     prot opt source               destination
RETURN     all -- 0.0.0.0/0            0.0.0.0/0

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed. Geeft aan dat poort 110, 143, 993 en 995
netjes dicht staan. Kennelijk staat er toch ergens iets anders open...

Aanvallen vanaf localhost. Dus dat ze al op je computer zitten op een
andere manier.

Ik heb niets gemerkt, maar ja, dat zegt niet alles. Ik zou dan eerder
verwachten dat ik helemaal geen ip adressen zie.

Aanvallen via een ander IP, dus dat je computer meerdere IP's heeft.

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
    link/ether 4c:72:b9:66:ad:1d brd ff:ff:ff:ff:ff:ff
    inet 178.32.217.177/24 brd 178.32.217.255 scope global dynamic eno1
       valid_lft 64574sec preferred_lft 64574sec
    inet6 fe80::4e72:b9ff:fe66:ad1d/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
state UP group default
    link/ether 02:42:fb:9a:b4:b2 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:fbff:fe9a:b4b2/64 scope link
       valid_lft forever preferred_lft forever
qdisc noqueue master docker0 state UP group default
    link/ether 86:01:86:e7:82:01 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::8401:86ff:fee7:8201/64 scope link
       valid_lft forever preferred_lft forever

Aanvallen via iets wat je toestaat, dus bijvoorbeeld een lokaal
netwerk. Een ander apparaat in je netwerk zou kunnen zijn gehacked.

Het is een server bij OVH, dus ik heb werkelijk geen idee wie er nog
meer op het netwerk zitten. Maar volgens mij komt zelfs iemand met een
IP adres 'naast' heb mijne niet naar binnen.

Wat ik zou gaan doen denk ik, is mijn firewall laten loggen. Ik heb
$IPTABLES -N logdrop
$IPTABLES -A logdrop -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logdrop -j DROP
$IPTABLES -N logaccept
$IPTABLES -A logaccept -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logaccept -j ACCEPT
$IPTABLES -N logreject
$IPTABLES -A logreject -j LOG --log-level info --log-prefix "FW:"
$IPTABLES -A logreject -j REJECT

Dat ga ik nog even uitzoeken, vooral logaccept is in dit geval
natuurlijk interessant.

Als ik dan iets wil loggen verander ik b.v. "ACCEPT" in "logaccept" en
dan logt hij dat. Misschien heb je er wat aan.
Groet,
Paul

--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl

Jaap

2022-12-25 09:48:04 UTC

Post by Paul van der Vlis
Hallo Jaap,

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Alleen voor een bepaald interface, of voor alles ? Je zou wat met
ons kunnen delen.

Ik heb hier de output van iptables -nL
Chain INPUT (policy ACCEPT)

Wat je hiermee zegt is dat je alle input accepteert, tenzij je het in
volgende regels expliciet weigert.
Dat is geen goed idee, want je normaal doet is de policy op DROP zetten,
en dan geef je daarna expliciet aan wat je wilt toestaan.
Verder even geen reactie, want andere dingen houden me bezig.

Dank! Ik ben al blij dat je even gekeken hebt.

Jaap

Coen

2022-12-19 18:50:01 UTC

Post by Jaap
Daar lijkt alles goed dicht te staan.

Alles staat dicht, maar de login pogingen gaan door.
Dat is gek hé?

De IP-adressen waarvandaan de login pogingen komen kunnen natuurlijk
niet dicht staan. Maar je bent niet zo scheutig met informatie. Dus het
wordt een beetje lastig om gericht te helpen.

Adri Verhoef

2024-07-15 07:10:10 UTC

Op moederschip aarde schreef iemand die zich identificeerde als

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed.

In 2024 lijkt de site (althans bij mij) niet meer zo goed te werken ...
Ik vond deze site via Google: https://dnschecker.org/port-scanner.php
Detecteert je IPv6-adres, zodat je dat zelf niet hoeft te verzinnen.
Deze site zegt dat ik geen IPv4-adres heb, althans: "unknown". Mijn 'ifconfig'
weet ook geen IPv4-adres te benoemen.

De ongekruisigde (ds.)

2024-07-27 07:46:07 UTC

Post by Adri Verhoef
Op moederschip aarde schreef iemand die zich identificeerde als

Post by Paul van der Vlis

Post by Paul van der Vlis

Post by Jaap
Desondanks gaan de hackpogingen door. Heeft iemand een goede tip voor mij?

Blijkbaar doet je firewall het niet, anders zou dit niet kunnen.
Kijk eens naar het resultaat met "iptables -n -L".

Daar lijkt alles goed dicht te staan.

Post by Paul van der Vlis
Misschien is zoiets ook zinvol om te testen: https://portscan.io/
Ik ken deze site verder niet, zelf gebruik ik nmap vanaf een remote machine.

Mooie site, werkt goed.

In 2024 lijkt de site (althans bij mij) niet meer zo goed te werken ...
Ik vond deze site via Google: https://dnschecker.org/port-scanner.php
Detecteert je IPv6-adres, zodat je dat zelf niet hoeft te verzinnen.
Deze site zegt dat ik geen IPv4-adres heb, althans: "unknown". Mijn 'ifconfig'
weet ook geen IPv4-adres te benoemen.

alias eip4='dig +short myip.opendns.com @resolver1.opendns.com'

geeft je een eip4 commando dat jouw externe IPv4-adres retourneert

--
De Kerk van Roodkapje (KvR) belijdt de enige ware religie! De
Rode Macht van Roodkapje is wetenschappelijk onderzocht en
bevestigd (google roodverschuiving).

16 Antwoorden
1 Weergeven
Permalink naar deze pagina
Verbeterde parsering uitschakelen

Boomnavigatie

Jaap 2022-12-16 14:35:31 UTC

tjoen 2022-12-16 17:25:59 UTC

Coen 2022-12-16 19:55:10 UTC

Gĳs Hillenius 2022-12-17 07:37:11 UTC

Jaap 2022-12-18 16:09:31 UTC

Paul van der Vlis 2022-12-17 14:59:41 UTC

Paul van der Vlis 2022-12-17 15:12:51 UTC

Jaap 2022-12-18 16:29:53 UTC

Paul van der Vlis 2022-12-19 08:49:11 UTC

Jaap 2022-12-21 08:33:31 UTC

Coen 2022-12-21 18:59:48 UTC

Jaap 2022-12-25 10:35:47 UTC

Paul van der Vlis 2022-12-22 10:55:14 UTC

Jaap 2022-12-25 09:48:04 UTC

Coen 2022-12-19 18:50:01 UTC

Adri Verhoef 2024-07-15 07:10:10 UTC

De ongekruisigde (ds.) 2024-07-27 07:46:07 UTC

info - legalese

Loading...