Öz poçt serverlərində Exim 4.87...4.91 versiyalarından istifadə edən həmkarlar - CVE-4.92-2019 vasitəsilə xakerlikdən qaçmaq üçün əvvəllər Exim-in özünü dayandıraraq, təcili olaraq 10149 versiyasına yeniləyin.
Dünya üzrə bir neçə milyon server potensial olaraq həssasdır, zəiflik kritik olaraq qiymətləndirilir (CVSS 3.0 baza balı = 9.8/10). Təcavüzkarlar serverinizdə bir çox hallarda kökdən ixtiyari əmrlər işlədə bilər.
Sabit versiyadan (4.92) və ya artıq yamaqlanmış versiyadan istifadə etdiyinizə əmin olun.
Və ya mövcud olanı düzəldin, mövzuya baxın .
üçün yeniləyin sent 6: santimetr. — centos 7 üçün, hələ birbaşa epeldən gəlməyibsə, işləyir.
UPD: Ubuntu təsirlənir 18.04 və 18.10, onlar üçün bir yeniləmə buraxıldı. 16.04 və 19.04 versiyaları onlara xüsusi seçimlər quraşdırılmadıqca təsir etmir. Daha ətraflı .
İndi orada təsvir olunan problem aktiv şəkildə istifadə olunur (ehtimal ki, bir bot tərəfindən), bəzi serverlərdə (4.91-də işləyir) bir infeksiya qeyd etdim.
Əlavə oxumaq yalnız “onu əldə etmiş”lər üçün aktualdır - ya hər şeyi təzə proqram təminatı ilə təmiz VPS-ə daşımalı, ya da həll yolu axtarmalısınız. cəhd edək? Kiminsə bu zərərli proqrama qalib gələ biləcəyini yazın.
Əgər siz Exim istifadəçisisinizsə və bunu oxuyursunuzsa, hələ də yeniləməmisinizsə (4.92 və ya yamaqlı versiyanın mövcud olduğuna əmin deyilsinizsə), lütfən dayanıb yeniləmək üçün işə salın.
Artıq oraya çatanlar üçün davam edək...
UPS: və düzgün məsləhət verir:
Zərərli proqramlar çox müxtəlif ola bilər. Dərmanı səhv bir şey üçün işə salmaqla və növbəni təmizləməklə, istifadəçi sağalmayacaq və nə üçün müalicə edilməli olduğunu bilməyəcək.
İnfeksiya belə nəzərə çarpır: [ktrotlds] prosessoru yükləyir; zəif VDS-də 100%, serverlərdə daha zəif, lakin nəzərə çarpır.
İnfeksiyadan sonra zərərli proqram cron daxiletmələrini silir, hər 4 dəqiqədən bir işləmək üçün orada yalnız özünü qeydiyyatdan keçirir, eyni zamanda crontab faylını dəyişməz edir. Crontab -e dəyişiklikləri saxlaya bilmir, xəta verir.
Dəyişməz, məsələn, bu kimi silinə və sonra əmr satırını (1.5kb) silə bilərsiniz:
chattr -i /var/spool/cron/root
crontab -e
Sonra, crontab redaktorunda (vim) xətti silin və yadda saxlayın:dd
:wq
Bununla belə, bəzi aktiv proseslər yenidən yazılır, mən bunu başa düşürəm.
Eyni zamanda, quraşdırıcı skriptindəki ünvanlarda (aşağıya bax) asılmış bir dəstə aktiv wgetlər (və ya qıvrımlar) var, mən onları hələlik belə yıxıram, amma yenidən başlayırlar:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Mən burada Trojan quraşdırıcı skriptini tapdım (centos): /usr/local/bin/nptd... Mən bunu qarşısını almaq üçün yerləşdirmirəm, lakin əgər kimsə yoluxmuşdursa və shell skriptlərini başa düşürsə, lütfən, onu daha diqqətlə öyrənin.
Məlumat yeniləndikcə əlavə edəcəm.
UPD 1: Faylların silinməsi (ilkin chattr -i ilə) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root kömək etmədi və xidməti dayandırmaq da olmadı - etməli oldum crontab hələlik onu tamamilə çıxarın (bin faylının adını dəyişdirin).
UPD 2: Trojan quraşdırıcısı bəzən başqa yerlərdə də uzanırdı, ölçüyə görə axtarış kömək etdi:
tapın / -ölçüsü 19825c
UPD 3/XNUMX/XNUMX: Diqqət! Trojan selinux-u söndürməklə yanaşı, özünü də əlavə edir SSH açarı ${sshdir}/authorized_keys ilə! Və /etc/ssh/sshd_config-də aşağıdakı sahələri aktivləşdirir, əgər onlar artıq YES olaraq təyin olunmayıbsa:
PermitRootLogin bəli
RSAAuthentication bəli
PubkeyAuthentication bəli
echo UsePAM bəli
PasswordAuthentication bəli
UPD 4: Hələlik ümumiləşdirmək üçün: Exim, cron (köklərlə) söndürün, təcili olaraq ssh-dən Trojan açarını çıxarın və sshd konfiqurasiyasını redaktə edin, sshd-ni yenidən başladın! Bunun kömək edəcəyi hələ aydın deyil, amma onsuz bir problem var.
Yamaqlar/yeniləmələr haqqında şərhlərdən vacib məlumatları qeydin əvvəlinə köçürdüm ki, oxucular onunla başlasın.
UPD 5/XNUMX/XNUMX: zərərli proqram WordPress-də parolları dəyişdi.
UPD 6/XNUMX/XNUMX: , test edək! Yenidən başladıqdan və ya söndürüldükdən sonra dərman yoxa çıxır, amma indiyə qədər heç olmasa belədir.
Stabil həll yolu tapan (yaxud tapan) zəhmət olmasa yazsın, çoxlarına kömək edəcəksən.
UPD 7/XNUMX/XNUMX: yazır:
Virusun Exim-də göndərilməmiş məktub sayəsində yenidən dirildiyini hələ deməmisinizsə, məktubu yenidən göndərməyə çalışdığınız zaman bərpa olunur, /var/spool/exim4-ə baxın
Bütün Exim növbəsini belə silə bilərsiniz:
exipick -i | xargs exim - Mrm
Növbədəki girişlərin sayının yoxlanılması:
exim -bpc
UPD 8: Yenə : FirstVDS müalicə skriptinin öz versiyasını təklif etdi, gəlin onu sınaqdan keçirək!
UPD 9: Belə görünür işlər, təşəkkürlər skript üçün!
Əsas odur ki, serverdə artıq təhlükə yaranıb və təcavüzkarlar daha atipik murdar şeylər əkə bilərdilər (damcıda qeyd olunmayıb).
Buna görə də, tamamilə quraşdırılmış serverə (vds) keçmək və ya heç olmasa mövzuya nəzarət etməyə davam etmək daha yaxşıdır - yeni bir şey varsa, burada şərhlərdə yazın, çünki Aydındır ki, hamı təzə quraşdırmaya keçməyəcək...
UPD 10: Bir daha təşəkkür edirəm : yalnız serverlərin deyil, həm də yoluxduğunu xatırladır Raspberry Pi, və hər cür virtual maşınlar... Beləliklə, serverləri saxladıqdan sonra video konsollarınızı, robotlarınızı və s. saxlamağı unutmayın.
UPD 11: From Əl ilə müalicə edənlər üçün vacib qeyd:
(bu zərərli proqramla mübarizə üçün bu və ya digər üsuldan istifadə etdikdən sonra)
Mütləq yenidən başlamalısınız - zərərli proqram açıq proseslərdə və müvafiq olaraq yaddaşda bir yerdə oturur və hər 30 saniyədən bir cron etmək üçün özünə yenisini yazır.
UPD 12/XNUMX/XNUMX: Exim-in növbəsində başqa(?) zərərli proqram var və sizə müalicəyə başlamazdan əvvəl ilk növbədə xüsusi probleminizi öyrənməyi məsləhət görür.
UPD 13/XNUMX/XNUMX: daha doğrusu, təmiz sistemə keçin və faylları son dərəcə diqqətlə köçürün, çünki Zərərli proqram artıq ictimaiyyətə açıqdır və başqa, daha az aşkar və daha təhlükəli üsullarla istifadə edilə bilər.
UPD 14: ağıllı insanların kökündən qaçmadığına özümüzü əmin etmək - daha bir şey :
Kökdən işləməsə belə, hacking baş verir... Debian jessie UPD var: OrangePi-də uzanın, Exim Debian-exim-dən işləyir və hələ də hacking baş verib, taclar itirilib və s.
UPD 15: pozulmuş serverdən təmiz bir serverə keçərkən gigiyena haqqında unutmayın, :
Məlumatları ötürərkən təkcə icra edilə bilən və ya konfiqurasiya fayllarına deyil, həm də zərərli əmrləri ehtiva edən hər hansı bir şeyə diqqət yetirin (məsələn, MySQL-də bu, CREATE TRIGGER və ya CREATE EVENT ola bilər). Həmçinin, .html, .js, .php, .py və digər ictimai fayllar haqqında unutmayın (ideal olaraq, bu fayllar, digər məlumatlar kimi, yerli və ya digər etibarlı yaddaşdan bərpa edilməlidir).
UPD 16/XNUMX/XNUMX: и : sistemdə Exim-in bir versiyası portlarda quraşdırılmışdı, amma əslində başqa bir versiya işləyirdi.
Beləliklə, hər kəs yeniləmədən sonra əmin olmalısınız yeni versiyadan istifadə etdiyinizə görə!
exim --versionOnların konkret vəziyyətini birlikdə sıraladıq.
Server DirectAdmin və onun köhnə da_exim paketindən istifadə etdi (köhnə versiya, zəiflik olmadan).
Eyni zamanda, DirectAdmin-in custombuild paket menecerindən istifadə edərək, əslində artıq həssas olan Exim-in daha yeni versiyası quraşdırıldı.
Bu xüsusi vəziyyətdə, custombuild vasitəsilə yeniləmə də kömək etdi.
Bu cür təcrübələrdən əvvəl ehtiyat nüsxələri çıxarmağı unutmayın, həmçinin yeniləmədən əvvəl/sonra bütün Exim proseslərinin köhnə versiyada olmasına əmin olun. və yaddaşda "ilişməmiş".
Mənbə: www.habr.com