Kolege koje koriste Exim verzije 4.87...4.91 na svojim mail serverima - hitno ažurirajte na verziju 4.92, nakon što su prethodno zaustavili sam Exim kako bi izbjegli hakovanje putem CVE-2019-10149.
Nekoliko miliona servera širom svijeta je potencijalno ranjivo, a ranjivost je ocijenjena kao kritična (CVSS 3.0 osnovni rezultat = 9.8/10). Napadači mogu pokrenuti proizvoljne komande na vašem serveru, u mnogim slučajevima iz root-a.
Molimo provjerite da li koristite fiksnu verziju (4.92) ili onu koja je već zakrpljena.
Ili zakrpite postojeći, pogledajte temu .
Ažuriraj za centi 6: cm. — za centos 7 također radi, ako još nije stigao direktno iz epela.
UPD: Ubuntu je pogođen 18.04 i 18.10, objavljeno je ažuriranje za njih. Verzije 16.04 i 19.04 nisu pogođene osim ako na njih nisu instalirane prilagođene opcije. Više detalja .
Sada se tamo opisani problem aktivno iskorištava (od strane bota, vjerovatno), primijetio sam infekciju na nekim serverima (koji radi na 4.91).
Daljnje čitanje je relevantno samo za one koji su ga već "dobili" - trebate ili sve prenijeti na čisti VPS sa svježim softverom ili tražiti rješenje. Hoćemo li pokušati? Napišite da li neko može da prevaziđe ovaj malver.
Ako vi, budući da ste korisnik Exim-a i čitate ovo, još uvijek niste ažurirali (niste bili sigurni da je dostupna verzija 4.92 ili zakrpljena), zaustavite se i pokrenite da ažurirate.
Za one koji su već stigli, nastavimo...
UPS: i daje pravi savjet:
Može postojati veliki izbor zlonamjernog softvera. Lansiranjem lijeka za pogrešnu stvar i čišćenjem reda, korisnik neće biti izliječen i možda neće znati od čega treba da se liječi.
Infekcija je uočljiva ovako: [kthrotlds] učitava procesor; na slabom VDS-u je 100%, na serverima je slabiji ali uočljiv.
Nakon infekcije, zlonamjerni softver briše cron unose, registrujući se samo tamo za pokretanje svake 4 minute, dok crontab datoteku čini nepromjenjivom. Crontab -e ne može sačuvati promjene, daje grešku.
Immutable se može ukloniti, na primjer, ovako, a zatim izbrisati komandnu liniju (1.5 kb):
chattr -i /var/spool/cron/root
crontab -e
Zatim, u uređivaču crontab (vim), obrišite red i sačuvajte:dd
:wq
Međutim, neki aktivni procesi se ponovo prepisuju, shvaćam.
Istovremeno, postoji gomila aktivnih wget-ova (ili curl-ova) koji visi na adresama iz skripte za instalaciju (vidi dolje), za sada ih obaram ovako, ali počinju iznova:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Pronašao sam skriptu za instalaciju Trojanca ovdje (centos): /usr/local/bin/nptd... Ne postavljam je da bih je izbjegao, ali ako je neko zaražen i razumije shell skripte, molimo vas da je pažljivije proučite.
Dodavat ću kako se informacije budu ažurirale.
UPD 1: Brisanje fajlova (sa preliminarnim chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root nije pomoglo, niti zaustavljanje servisa - morao sam crontab ga za sada potpuno otkinite (preimenujte bin fajl).
UPD 2: Trojanski program za instalaciju ponekad je ležao i na drugim mjestima, pretraživanje po veličini je pomoglo:
pronađi / -veličina 19825c
UPD 3. Oprez Pored onemogućavanja selinuxa, trojanac dodaje i svoj vlastiti SSH ključ u ${sshdir}/authorized_keys! I aktivira sljedeća polja u /etc/ssh/sshd_config, ako već nisu postavljena na DA:
PermitRootLogin da
RSAA autentifikacija da
PubkeyAuthentication da
echo UsePAM da
PasswordAuthentication da
UPD 4: Za sada da rezimiramo: onemogućite Exim, cron (sa roots-om), hitno uklonite trojanski ključ sa ssh-a i uredite sshd konfiguraciju, ponovno pokrenite sshd! I još nije jasno da li će to pomoći, ali bez toga postoji problem.
Važne informacije iz komentara o zakrpama/ažuriranju premjestio sam na početak bilješke, tako da čitaoci počnu s njom.
UPD 5. da je zlonamjerni softver promijenio lozinke u WordPress-u.
UPD 6. , hajde da testiramo! Nakon ponovnog pokretanja ili gašenja, lijek kao da nestaje, ali za sada je barem to.
Svako ko napravi (ili nađe) stabilno rješenje neka piše, mnogima ćeš pomoći.
UPD 7. piše:
Ako već niste rekli da je virus vaskrsao zahvaljujući neposlatom pismu u Eximu, kada pokušate ponovo poslati pismo, ono se vraća, pogledajte u /var/spool/exim4
Možete obrisati cijeli Exim red na sljedeći način:
exipick -i | xargs exim -Mrm
Provjera broja unosa u redu čekanja:
exim -bpc
UPD 8: Opet : FirstVDS je ponudio svoju verziju skripte tretmana, hajde da je testiramo!
UPD 9: Izgleda radovi, hvala za scenario!
Glavna stvar je ne zaboraviti da je server već bio kompromitovan i da su napadači mogli uspjeti podmetnuti još neke netipične gadosti (koje nisu navedene u dropperu).
Stoga je bolje preći na potpuno instaliran server (vds), ili barem nastaviti pratiti temu - ako ima nečeg novog pišite u komentarima ovdje, jer očigledno neće svi preći na novu instalaciju...
UPD 10: Hvala još jednom : podsjeća da nisu samo serveri zaraženi, već i Malina Pi, i sve vrste virtuelnih mašina... Dakle, nakon što sačuvate servere, ne zaboravite da sačuvate svoje video konzole, robote itd.
UPD 11: Od Važna napomena za ručne iscjelitelje:
(nakon upotrebe jedne ili druge metode borbe protiv ovog zlonamjernog softvera)
Definitivno morate ponovo pokrenuti - zlonamjerni softver se nalazi negdje u otvorenim procesima i, shodno tome, u memoriji, i svakih 30 sekundi upisuje novi za cron
UPD 12. Exim ima još jedan(?) zlonamjerni softver u redu i savjetuje vam da prvo proučite svoj specifični problem prije nego što počnete s liječenjem.
UPD 13. radije, pređite na čist sistem i izuzetno pažljivo prenosite fajlove, jer Zlonamjerni softver je već javno dostupan i može se koristiti na druge, manje očigledne i opasnije načine.
UPD 14: uvjeravanje samih sebe da pametni ljudi ne trče iz korijena - još jedna stvar :
Čak i ako ne radi iz root-a, dolazi do hakovanja... Imam debian jessie UPD: rastegni se na mom OrangePi-u, Exim radi iz Debian-exima i još se dogodilo hakiranje, izgubljene krune, itd.
UPD 15: pri prelasku na čisti server sa kompromitovanog, ne zaboravite na higijenu, :
Kada prenosite podatke, obratite pažnju ne samo na izvršne ili konfiguracijske datoteke, već i na sve što može sadržavati zlonamjerne naredbe (na primjer, u MySQL-u to može biti CREATE TRIGGER ili CREATE EVENT). Takođe, ne zaboravite na .html, .js, .php, .py i druge javne datoteke (idealno bi ove datoteke, kao i druge podatke, trebalo vratiti iz lokalnog ili drugog pouzdanog skladišta).
UPD 16. и : sistem je imao jednu verziju Exima instaliranu na portovima, ali je u stvarnosti radio drugu.
Dakle, svi nakon ažuriranja treba da budete sigurni da koristite novu verziju!
exim --versionZajedno smo riješili njihovu specifičnu situaciju.
Server je koristio DirectAdmin i njegov stari paket da_exim (stara verzija, bez ranjivosti).
U isto vrijeme, koristeći DirectAdminov custombuild paket menadžer, u stvari, tada je instalirana novija verzija Exima, koja je već bila ranjiva.
U ovoj konkretnoj situaciji, ažuriranje putem custombuild-a je također pomoglo.
Ne zaboravite napraviti sigurnosne kopije prije takvih eksperimenata, a također se uvjerite da su prije/poslije ažuriranja svi Exim procesi stare verzije a ne "zaglavljeni" u memoriji.
izvor: www.habr.com