Sendmail vulnerability? my mistake?

To: debian-russian <debian-russian@lists.debian.org>
Subject: Sendmail vulnerability? my mistake?
From: Andrei Sosnin <demonsly@hot.ee>
Date: Mon, 10 Feb 2003 09:22:23 +0200
Message-id: <[🔎] 3E47532F.7020003@hot.ee>

Здравствуйте!

У меня на сервере стоит Sendmail. Настроен он мной практически поминимуму - только принимать почту извне и пересылать внутрисетевую почту- все.


Недавно ко мне на этот сервер пришло письмо с таким вот заголовком:

From - Mon Feb 10 08:39:37 2003
X-UIDL: N%!"!c(d!!;:E"!__D"!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path: <MAILER-DAEMON>
Received: from SNAKE (dhcp-19-65.cable.infonet.ee [212.7.19.65])
	by alpha.zzx.dyn.ee (8.12.6/8.12.6) with SMTP id h19JeCEB012402
	for <tomato@zzx.dyn.ee>; Sun, 9 Feb 2003 21:40:17 +0200
Date: Sun, 9 Feb 2003 21:40:12 +0200
Message-Id: <200302091940.h19JeCEB012402@alpha.zzx.dyn.ee>
Subject: FW: falco kodikas
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="====_ABC123456j7890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-UIDL: N%!"!c(d!!;:E"!__D"!

Внутрь письма была вложена программа - по всей видимости - виндосовскийвирус... (внутри двоичного кода я заметил фрагменты самого письма, словпротокола SMTP и прочую дребедень, ну и слова "This program cannot berun under DOS-mode")... Само письмо состоит из ничего не значащего кодаHTML...

Если бы оно пришло мне на обычный почтовый ящик - я бы просто егоудалил, но ведь его пропустил Sendmail, на который я как разполагался... В меня закралось подозрение, что у меня в Сендмейле дырка -либо в настройках, либо в самом МТА. Нехорошо... Уточню: в заголовкепочему-то отсутствует обязательный (кажется) эелемент From:. То есть онесть (первая строка), но он какой-то неправильный... :(

Конечно, хорошо, что оригинальный IP злоумышленника остался (ему я ещезадам жару! :)), но мне бы не хотелось, чтобы я и все пользователи этогосервера страдали от такой штуки. По крайней мере потому, что этооткровенный спам...

Я, кстати, попробовал и сам что-то подобное провернуть, но не удалось -у меня сендмейл требует обязательного реального имени хоста, норазрешает имена вроде: -@nohost.com :-( Между тем, задать имя хоста ввиде "-" мне не удалось...

Есть ли у уважаемых гуру какие-нибудь предположения по причинам казуса ипредложения по его изничтожению? :-)


С наилучшими поеланиями,

--
Andrei Sosnin
http://zzx.dyn.ee

<!-- : it all depends on your vision : -->

Reply to:

Follow-Ups:
- Re: Sendmail vulnerability? my mistake?
  - From: "Vasiliy 'Druid' Misharev" <druid@ice.ru>
- Re: Sendmail vulnerability? my mistake?
  - From: Alexander Kotelnikov <sacha@debian.org>

Prev by Date: Re: Ядро 2.4.20-686
Next by Date: висы сервера
Previous by thread: Re: Документация по Sendmail
Next by thread: Re: Sendmail vulnerability? my mistake?
Index(es):
- Date
- Thread