በደብዳቤ አገልጋዮቻቸው ላይ የኤግዚም እትሞችን 4.87...4.91 የሚጠቀሙ ባልደረቦች - በCVE-4.92-2019 ከመጥለፍ ለመዳን ከዚህ ቀደም እራሱን ኤግዚም በማቆም በፍጥነት ወደ ስሪት 10149 ያዘምኑ።
በአለም ዙሪያ ያሉ በርካታ ሚሊዮን አገልጋዮች ተጋላጭ ሊሆኑ ይችላሉ፣ተጋላጭነቱ እንደ ወሳኝ ደረጃ ተሰጥቷል (CVSS 3.0 base score = 9.8/10)። አጥቂዎች የዘፈቀደ ትዕዛዞችን በአገልጋይዎ ላይ ማሄድ ይችላሉ፣ በብዙ አጋጣሚዎች ከስር።
እባክዎ ቋሚ ስሪት (4.92) ወይም ቀድሞ የተለጠፈ እየተጠቀሙ መሆንዎን ያረጋግጡ።
ወይም ነባሩን ይለጥፉ፣ ክር ይመልከቱ
አዘምን ለ centos 6: ሴሜ.
UPD፡ ኡቡንቱ ተጎድቷል። 18.04 እና 18.10፣ ዝማኔ ተለቋል። ብጁ አማራጮች ካልተጫኑ በስተቀር ስሪት 16.04 እና 19.04 አይነኩም። ተጨማሪ ዝርዝሮች
አሁን እዚያ የተገለጸው ችግር በንቃት ጥቅም ላይ እየዋለ ነው (በቦት፣ የሚገመተው)፣ በአንዳንድ አገልጋዮች ላይ ኢንፌክሽን አስተውያለሁ (በ4.91 ላይ እየሄደ)።
ተጨማሪ ንባብ የሚመለከተው ቀደም ሲል “ለተቀበሉት” ብቻ ነው - ሁሉንም ነገር በአዲስ ሶፍትዌር ወደ ንጹህ VPS ማጓጓዝ ወይም መፍትሄ መፈለግ ያስፈልግዎታል። እንሞክር? ማንም ሰው ይህን ማልዌር ማሸነፍ ከቻለ ይጻፉ።
እርስዎ የኤግዚም ተጠቃሚ በመሆን እና ይህንን በማንበብ አሁንም ካላዘመኑ (4.92 ወይም የታሸገ ስሪት መኖሩን ካላረጋገጡ) እባክዎ ለማዘመን ያቁሙ እና ያሂዱ።
ቀድሞውንም እዚያ ለደረሱት፣ እንቀጥል...
የተዘመነ:
በጣም ብዙ አይነት ማልዌር ሊኖሩ ይችላሉ። ለተሳሳተ ነገር መድሃኒቱን በማስጀመር እና ወረፋውን በማጽዳት ተጠቃሚው አይፈወስም እና ምን መታከም እንዳለበት ላያውቅ ይችላል.
ኢንፌክሽኑ እንደዚህ ይታያል: [kthrotlds] ማቀነባበሪያውን ይጭናል; በደካማ ቪዲኤስ ላይ 100% ነው, በአገልጋዮች ላይ ደካማ ነው ነገር ግን የሚታይ ነው.
ከበሽታው በኋላ ተንኮል አዘል ዌር የክሮን ግቤቶችን ይሰርዛል ፣ በየ 4 ደቂቃው ለመሮጥ እራሱን ብቻ በመመዝገብ የ crontab ፋይል የማይለዋወጥ ያደርገዋል። ክሮንታብ - ኢ ለውጦችን ማስቀመጥ አይችልም, ስህተት ይሰጣል.
የማይለወጥ ሊወገድ ይችላል፣ ለምሳሌ፣ እንደዚህ እና ከዚያ የትእዛዝ መስመሩን (1.5kb) ይሰርዙ።
chattr -i /var/spool/cron/root
crontab -e
በመቀጠል በ crontab አርታኢ (ቪም) ውስጥ መስመሩን ሰርዝ እና አስቀምጥ፡-dd
:wq
ሆኖም ፣ አንዳንድ ንቁ ሂደቶች እንደገና እየተፃፉ ነው ፣ እኔ እያወቅኩት ነው።
በተመሳሳይ ጊዜ ከጫኚው ስክሪፕት (ከዚህ በታች ይመልከቱ) በአድራሻዎች ላይ የተንጠለጠሉ ብዙ ንቁ wgets (ወይም ኩርባዎች) አሉ ፣ ለአሁን እንደዚህ እያንኳኳቸው ነው ፣ ግን እንደገና ይጀምራሉ ።
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
የትሮጃን ጫኝ ስክሪፕት እዚህ አገኘሁት (ሴንቶስ): /usr/local/bin/nptd...እሱን ለማስቀረት አይደለም የለጠፍኩትም፣ ነገር ግን ማንም በቫይረሱ ከተያዘ እና የሼል ስክሪፕቶችን ከተረዳ እባክዎን የበለጠ በጥንቃቄ ያጠኑት።
መረጃ ሲዘምን እጨምራለሁ.
UPD 1: ፋይሎችን መሰረዝ (ከቅድመ chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root አልረዳም, ወይም አገልግሎቱን ማቆም አለብኝ - ማድረግ ነበረብኝ. ክሮንታብ ሙሉ በሙሉ ለአሁኑ ያጥፉት (የቢን ፋይሉን እንደገና ይሰይሙ)።
UPD 2፡ የትሮጃን ጫኝ አንዳንድ ጊዜ በሌሎች ቦታዎች ተኝቶ ነበር በመጠን መፈለግ ረድቷል፡
አግኝ / -መጠን 19825c
UPD 3፡ እባክዎ ልብ ይበሉ! ሴሊኑክስን ከማሰናከል በተጨማሪ ትሮጃኑ የራሱን ይጨምራል የኤስኤስኤች ቁልፍ በ${sshdir}/በተፈቀደ_ቁልፍ! እና የሚከተሉትን መስኮች በ /etc/ssh/sshd_config ውስጥ ያነቃቸዋል፣ወደ አዎ ካልተዋቀሩ።
PermitRootLogin አዎ
የRSAA ማረጋገጫ አዎ
PubkeyAut ማረጋገጫ አዎ
አስተጋባ UsePAM አዎ
የይለፍ ቃል ማረጋገጫ አዎ
UPD 4: ለአሁኑ ለማጠቃለል፡ Exim, cron (ከ roots ጋር) አሰናክል, በአስቸኳይ የትሮጃን ቁልፍን ከ ssh ያስወግዱ እና የ sshd ውቅረትን ያርትዑ, sshd እንደገና ያስጀምሩ! እና ይህ እንደሚረዳ እስካሁን ግልጽ አይደለም, ነገር ግን ያለሱ ችግር አለ.
ስለ ጥገናዎች/ዝማኔዎች ከተሰጡ አስተያየቶች ጠቃሚ መረጃን ወደ ማስታወሻው መጀመሪያ አዛውሬአለሁ፣ ስለዚህም አንባቢዎች በእሱ እንዲጀምሩ።
UPD 5፡
UPD 6፡
ማንኛውም ሰው የተረጋጋ መፍትሄ የሚያመጣ (ወይም የሚያገኝ)፣ እባክዎ ይፃፉ፣ ብዙዎችን ይረዳሉ።
UPD 7፡
በኤግዚም ውስጥ ላልተላከ ደብዳቤ ምስጋና ይግባው ቫይረሱ ከሞት ተነስቷል ብለው ካልተናገሩ ፣ ደብዳቤውን እንደገና ለመላክ ሲሞክሩ ተመልሶ ይመለሳል ፣ ይመልከቱ /var/spool/exim4
የኤግዚም ወረፋውን በዚህ መንገድ ማጽዳት ይችላሉ፡-
expick -i | xargs exim -Mrm
በወረፋው ውስጥ የገቡትን ብዛት በመፈተሽ ላይ፡-
exim -bpc
UPD 8: እንደገና
UPD 9፡ ይመስላል ስራዎች, አመሰግናለሁ
ዋናው ነገር አገልጋዩ ቀድሞውኑ የተበላሸ መሆኑን እና አጥቂዎቹ አንዳንድ ተጨማሪ ያልተለመዱ መጥፎ ነገሮችን (በ dropper ውስጥ ያልተዘረዘሩ) መትከል ይችሉ እንደነበር መዘንጋት የለበትም።
ስለዚህ, ወደ ሙሉ በሙሉ የተጫነ አገልጋይ (vds) መሄድ ይሻላል, ወይም ቢያንስ ርዕሱን መከታተልዎን ይቀጥሉ - አዲስ ነገር ካለ, እዚህ በአስተያየቶች ውስጥ ይፃፉ, ምክንያቱም ሁሉም ሰው ወደ አዲስ ጭነት እንደማይሸጋገር ግልጽ ነው።
UPD 10: በድጋሚ አመሰግናለሁ
UPD 11: ከ
(ይህንን ማልዌር ለመዋጋት አንድ ወይም ሌላ ዘዴ ከተጠቀሙ በኋላ)
በእርግጠኝነት ዳግም ማስነሳት ያስፈልግዎታል - ማልዌር በክፍት ሂደቶች ውስጥ ተቀምጦ ፣በዚህም ፣ በማህደረ ትውስታ ውስጥ ፣ እና በየ 30 ሰከንድ እራሱን አዲስ ክሮን ይጽፋል።
UPD 12፡
UPD 13፡
UPD 14፡ ብልህ ሰዎች ከሥሩ እንደማይሮጡ እራሳችንን ማረጋገጥ - አንድ ተጨማሪ ነገር
ምንም እንኳን ከሥሩ ባይሠራም ጠለፋ ይከሰታል... Debian jessie UPD አለኝ፡ በ OrangePiዬ ላይ ዘረጋ፣ Exim ከዴቢያን-ኤግዚም እየሮጠ ነው እና አሁንም መጥለፍ ተከስቷል፣ የጠፉ ዘውዶች፣ ወዘተ.
UPD 15: ከተበላሸ ወደ ንጹህ አገልጋይ ሲንቀሳቀሱ ስለ ንፅህና አይርሱ ፣
ውሂብን በሚያስተላልፉበት ጊዜ ሊተገበሩ ለሚችሉ ወይም ለማዋቀር ፋይሎችን ብቻ ሳይሆን ተንኮል-አዘል ትዕዛዞችን ሊይዝ ለሚችል ለማንኛውም ነገር ትኩረት ይስጡ (ለምሳሌ በ MySQL ውስጥ ይህ CREATE TRIGER ወይም CREATE EVENT ሊሆን ይችላል)። እንዲሁም ስለ .html፣ .js፣ .php፣ .py እና ሌሎች ይፋዊ ፋይሎችን አትርሳ (በተለምዶ እነዚህ ፋይሎች ልክ እንደሌላ ውሂብ፣ ከአካባቢያዊ ወይም ሌላ ከታመነ ማከማቻ ወደነበሩበት መመለስ አለባቸው)።
UPD 16፡
ስለዚህ ሁሉም ሰው ከዝማኔው በኋላ ማረጋገጥ አለብዎት አዲሱን ስሪት እየተጠቀሙ ነው!
exim --version
ልዩ ሁኔታቸውን አንድ ላይ አስተካክለናል.
አገልጋዩ DirectAdminን እና የድሮውን da_exim ጥቅልን ተጠቅሟል (የቀድሞው ስሪት፣ ያለ ተጋላጭነት)።
በተመሳሳይ ጊዜ ፣በDirectAdmin's custombuild package manager ፣በእርግጥ አዲስ የ Exim ስሪት ተጭኗል ፣ይህም ቀድሞውኑ ተጋላጭ ነበር።
በዚህ ሁኔታ፣ በብጁ ግንባታ በኩል ማዘመን እንዲሁ ረድቷል።
ከእንደዚህ አይነት ሙከራዎች በፊት ምትኬዎችን መስራትዎን አይርሱ ፣ እና እንዲሁም ከዝማኔው በፊት/ በኋላ ሁሉም የኤግዚም ሂደቶች የድሮው ስሪት መሆናቸውን ያረጋግጡ።
ምንጭ: hab.com