Seltsame Mail von root, Trojaner zax.pl?
 

Hallo zusammen,

ich hatte heute 3 seltsame E-Mail in meinem Account von root. Sie waren alle gleich. Ich kann mir keinen richtigen Reim darauf machen.

Ich betreibe einen Server bei 1und1. Habe die Debian Minimalinstallation genommen und einen Mailserver aufgesetzt. Es können nur authentifizierte User E-Mails versenden und auch nur von einer Domain.

Hier der Quellcode der Mail:

Wenn ich die Adresse hxxp://212.30.46.158/zax.pl in meinem Browser unter Windows eingebe, springt sofort der Virenscanner an und meldet "Perl:Shellbot-O [Trj]".

Grüße,
Andreas

:hallo:

wenn du an dieser Adresse eMails empfaengst, bekommst du auch welche ;)

Es wird Milliarden an SPAM jede Stunde verschickt, oft auch einfach an standard Mail-Adressen wie admin@ info@ webmaster@ etc. pp.

Nichts ungewehnliches also.

Ok danke für die Information. Dann bin ich ja beruhigt.

Mit der Mail wird anscheindend irgendwie versucht ein externes Script zu starten, die Befehle stehen im Return-Path. Dadurch dachte ich gleich an eine Sicherheitslücke.

Das sehe ich auch so.
Es wird offensichtlich versucht ein Exploit auszunutzen umd den Server zu übernehmen.

Ich hab zu dem Script gegoogelt, aber nix gefunden. :(

Wäre interessant zu wissen, bei welchen Umständen dieser Exploit greift. Allerdings scheint das Script auch schon etwas älter zu sein. Habe mir mal die zax.pl Datei runtergeladen und im Header steht:

Wenn ich das richtig interpretiere, muss dieses Script auf der Konsole ausgeführt werden. Aber wer führt so ein Script schon freiwillig auf seinem Server aus? :wtf:

Wenn ich mir deinen geposteten Link im Firefox anschaue, seh ich das Script selbst. Aber da wird nix ausgeführt :)

Hallo,

Das Thema hat mich jetzt hierher gebracht. ;)

Also ich habe die gleiche E-Mail gestern erhalten. Auch hier hat mein Server mir diese E-Mail an meinen PLESK-Admin-Kontakt zugeschickt.

Allerdings wie? Mein Server ist 1 Monat alt und aktuell nur zum testen von PLESK 11.0.9#53. Ich habe zwar drei Domains eingerichtet, aber diese haben keinen Inhalt. Das Plesk-Panel selbst ist mit einer zusätzlichen htaccess geschützt und der Server hat nur Zugriff per "Private key file". Heißt jede andere Form der Anmeldung ist gesperrt. Auch der FTP ist deaktiviert.

Wieso habe ich also von meinem Server solch eine E-Mail erhalten?

Dein eigener Server hat diese Mail generiert, bist du dir da sicher? :wtf:

Die E-Mail schaute so aus:

Das sind meine Serverdaten:
Wo auch die E-Mail in Plesk als Admin hinterlegt ist. Die E-Mail selbst liegt bei webgo24, einem anderen Server.

Hm, bedeutet das nicht, dass du die Mail von [212.30.46.158] bekommen hast? Also dein Server nur der Empfänger ist? Die Quelle ist übrigens die gleiche IP, auf dem dieses pl-Script über http verfügbar ist.


Hm, schau dir mal an was im Returnpath steht; darüber wird versucht per wget das pl-Script nach /tmp zu laden und dann auch zu starten....

Nachtrag: hiermal ein Artikel den ich gefunden habe => Vom Advisory zum Exploit binnen eines Tages - Aus dem Leben eines Szlauszafs

Wow! Danke schön! Zum Glück habe ich weder Exim, noch Dovecot. ^^°

Man hat mir erklärt und auch gezeigt dass derjenige wohl über telnet, einfach an "postmaster", gesendet hat, welches dann an meine Admin-Adresse weiterleitet. Danke, damit wäre das geklärt. ;)

Trotzdem immer die Augen offen halten und auf sichere/sinnvolle Konfig achten ;)

Dann stimmst du mir also zu, dass nicht dein Server die Mail generiert hat? ;)
Diese Mail war "einfach" nur ein Versuch eine unsichere Konfig auszunutzen, hätte ich mir mal eher den returnpath angeschaut wäre ich auch eher drauf gekommen, ich kann mir kaum vorstellen, dass jmd so ein Shellscript absichtlich selbst ausführt :wtf:

Der Script hat scheint was an einen IRC Server zu schicken.

Wird ja auch als Shell-Bot klassifiziert :D