Ang mga kauban nga naggamit sa Exim nga mga bersyon 4.87...4.91 sa ilang mga mail server - dinalian nga nag-update sa bersyon 4.92, nga una nga gipahunong ang Exim mismo aron malikayan ang pag-hack pinaagi sa CVE-2019-10149.
Daghang milyon nga mga server sa tibuuk kalibutan ang lagmit nga mahuyang, ang pagkahuyang gi-rate nga kritikal (CVSS 3.0 base score = 9.8/10). Ang mga tig-atake mahimong magpadagan ug arbitraryong mga sugo sa imong server, sa daghang mga kaso gikan sa gamut.
Palihug siguroha nga ikaw naggamit ug fixed nga bersyon (4.92) o usa nga na-patch na.
O i-patch ang naa na, tan-awa ang hilo .
Update para sa centos 6: cm. - para sa centos 7 kini usab molihok, kung kini wala pa moabut direkta gikan sa epel.
UPD: Naapektuhan ang Ubuntu 18.04 ug 18.10, usa ka update ang gipagawas alang kanila. Ang mga bersyon 16.04 ug 19.04 dili maapektuhan gawas kung ang mga kapilian nga naandan gi-install sa kanila. Dugang detalye .
Karon ang problema nga gihulagway didto aktibo nga gipahimuslan (sa usa ka bot, lagmit), nakamatikod ako usa ka impeksyon sa pipila nga mga server (nagdagan sa 4.91).
Ang dugang nga pagbasa may kalabutan lamang alang sa mga "nakuha na" - kinahanglan nimo nga ibalhin ang tanan sa usa ka limpyo nga VPS nga adunay bag-ong software, o mangita usa ka solusyon. Atong sulayan? Isulat kung adunay makabuntog niini nga malware.
Kung ikaw, nga usa ka tiggamit sa Exim ug nagbasa niini, wala gihapon mag-update (wala makasiguro nga ang 4.92 o usa ka patched nga bersyon magamit), palihug hunong ug dagan aron ma-update.
Sa mga nakaabot na didto, padayon ta...
UPS: ug naghatag ug saktong tambag:
Mahimong adunay daghang lainlain nga malware. Pinaagi sa paglansad sa tambal alang sa sayup nga butang ug paghawan sa pila, ang tiggamit dili mamaayo ug mahimong dili mahibal-an kung unsa ang kinahanglan niyang tambalan.
Ang impeksyon mamatikdan sama niini: [kthrotlds] nagkarga sa processor; sa usa ka huyang nga VDS kini 100%, sa mga server kini mas huyang apan mamatikdan.
Pagkahuman sa impeksyon, gitangtang sa malware ang mga entry sa cron, nagparehistro lamang sa kaugalingon didto aron modagan matag 4 minuto, samtang gihimo ang crontab file nga dili mausab. Crontab -e dili makatipig sa mga pagbag-o, naghatag usa ka sayup.
Ang dili mausab mahimong tangtangon, pananglitan, sama niini, ug unya tangtangon ang command line (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sunod, sa crontab editor (vim), kuhaa ang linya ug i-save:dd
:wq
Bisan pa, ang pipila sa mga aktibo nga proseso gi-overwriting pag-usab, akong gihunahuna kini.
Sa parehas nga oras, adunay daghang mga aktibo nga wgets (o mga curl) nga nagbitay sa mga adres gikan sa script sa installer (tan-awa sa ubos), gitumba ko sila sama niini sa pagkakaron, apan nagsugod sila pag-usab:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Nakit-an nako ang script sa pag-install sa Trojan dinhi (centos): /usr/local/bin/nptd... Wala ko kini gi-post aron malikayan kini, apan kung adunay nataptan ug nakasabut sa mga script sa shell, palihug tun-i kini nga labi ka maayo.
Akong idugang samtang gi-update ang impormasyon.
UPD 1: Ang pagtangtang sa mga file (nga adunay preliminary chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root wala makatabang, ni mihunong sa serbisyo - kinahanglan nako crontab sa bug-os sa pagkakaron gub-on kini (ilisan ang ngalan sa bin file).
UPD 2: Ang Trojan installer usahay naghigda sa ubang mga lugar, ang pagpangita sa gidak-on nakatabang:
pangitaa / -gidak-on 19825c
UPD 3/XNUMX/XNUMX: Pasidaan Dugang sa pag-disable sa selinux, ang Trojan usab nagdugang sa iyang kaugalingon SSH yawe sa ${sshdir}/authorized_keys! Ug i-aktibo ang mosunod nga mga natad sa /etc/ssh/sshd_config, kung wala pa kini ibutang sa YES:
PermitRootLogin oo
RSAAuthentication oo
PubkeyAuthentication oo
echo UsePAM oo
PasswordAuthentication oo
UPD 4: Sa pag-summarize sa pagkakaron: pag-disable sa Exim, cron (nga adunay mga gamot), kuhaa dayon ang Trojan key gikan sa ssh ug i-edit ang sshd config, i-restart ang sshd! Ug dili pa klaro nga kini makatabang, apan kung wala kini adunay problema.
Gibalhin nako ang hinungdanon nga kasayuran gikan sa mga komento bahin sa mga patch / update sa sinugdanan sa nota, aron ang mga magbabasa magsugod niini.
UPD 5/XNUMX/XNUMX: nga ang malware nag-usab sa mga password sa WordPress.
UPD 6/XNUMX/XNUMX: , testingan ta! Pagkahuman sa pag-reboot o pag-shutdown, ang tambal daw mawala, apan sa pagkakaron labing menos mao na kana.
Bisan kinsa nga naghimo (o nakakaplag) usa ka lig-on nga solusyon, palihug isulat, makatabang ka sa daghan.
UPD 7/XNUMX/XNUMX: nagsulat:
Kung wala pa nimo giingon nga ang virus nabanhaw salamat sa usa ka wala ipadala nga sulat sa Exim, kung gisulayan nimo nga ipadala ang sulat pag-usab, kini gipahiuli, tan-awa sa /var/spool/exim4
Mahimo nimong malimpyohan ang tibuuk nga pila sa Exim sama niini:
exipick -i | xargs exim -Mrm
Pagsusi sa gidaghanon sa mga entry sa pila:
exim -bpc
UPD 8: Pag-usab : Gitanyag sa FirstVDS ang ilang bersyon sa script sa pagtambal, sulayan nato kini!
UPD 9: Murag mga buhat, salamat para sa script!
Ang nag-unang butang mao ang dili pagkalimot nga ang server nakompromiso na ug ang mga tig-atake mahimo nga makahimo sa pagtanom sa pipila ka mga dili tipikal nga daotan nga mga butang (wala gilista sa dropper).
Busa, mas maayo nga mobalhin sa usa ka bug-os nga na-install nga server (vds), o labing menos magpadayon sa pag-monitor sa hilisgutan - kung adunay bag-o, isulat sa mga komento dinhi, tungod kay klaro nga dili tanan mobalhin sa usa ka bag-ong instalasyon...
UPD 10: Salamat pag-usab : kini nagpahinumdom nga dili lamang mga server ang nataptan, apan usab Raspberry Pi, ug tanang matang sa virtual machine... Busa human sa pagluwas sa mga server, ayaw kalimot sa pagluwas sa imong mga video console, robot, ug uban pa.
UPD 11: Gikan sa Importante nga pahinumdom alang sa mga manwal nga mananambal:
(pagkahuman sa paggamit sa usa o lain nga pamaagi sa pagbatok niini nga malware)
Kinahanglan gyud nimo nga i-reboot - ang malware naglingkod sa usa ka lugar sa bukas nga mga proseso ug, sa ingon, sa panumduman, ug nagsulat sa kaugalingon nga usa ka bag-o aron ma-cron matag 30 segundos
UPD 12/XNUMX/XNUMX: Ang Exim adunay lain(?) nga malware sa pila niini ug nagtambag kanimo nga tun-an una ang imong piho nga problema sa dili pa magsugod pagtambal.
UPD 13/XNUMX/XNUMX: hinoon, pagbalhin ngadto sa usa ka limpyo nga sistema, ug pagbalhin sa mga file pag-ayo pag-ayo, tungod kay Ang malware anaa na sa publiko ug mahimong magamit sa uban, dili kaayo klaro ug mas delikado nga mga paagi.
UPD 14: pagpasalig sa atong kaugalingon nga ang mga maalamon nga mga tawo dili modagan gikan sa gamut - usa pa ka butang :
Bisan kung dili kini molihok gikan sa gamut, mahitabo ang pag-hack ... Ako adunay debian jessie UPD: pag-inat sa akong OrangePi, ang Exim nagdagan gikan sa Debian-exim ug nahitabo gihapon ang pag-hack, nawala nga mga korona, ug uban pa.
UPD 15: kung mobalhin sa usa ka limpyo nga server gikan sa usa nga nakompromiso, ayaw kalimti ang bahin sa kahinlo, :
Kung magbalhin ug data, hatagi ug pagtagad dili lang ang mga executable o configuration file, kondili ang bisan unsa nga mahimong adunay malisyosong mga sugo (pananglitan, sa MySQL mahimo kini nga CREATE TRIGGER o CREATE EVENT). Usab, ayaw kalimti ang mahitungod sa .html, .js, .php, .py ug uban pang publikong mga payl (mas maayo kini nga mga payl, sama sa ubang mga datos, kinahanglang ibalik gikan sa lokal o uban pang kasaligang storage).
UPD 16/XNUMX/XNUMX: ΠΈ : ang sistema adunay usa ka bersyon sa Exim nga na-install sa mga pantalan, apan sa pagkatinuod kini nagpadagan sa lain.
Busa ang tanan pagkahuman sa pag-update kinahanglan nimong sigurohon nga imong gigamit ang bag-ong bersyon!
exim --versionAmong gihusay ang ilang piho nga kahimtang nga magkauban.
Gigamit sa server ang DirectAdmin ug ang daan nga pakete nga da_exim (daan nga bersyon, walaβy kahuyang).
Sa samang higayon, uban sa tabang sa custombuild package manager sa DirectAdmin, sa pagkatinuod, usa ka bag-ong bersyon sa Exim ang na-install, nga huyang na.
Niini nga partikular nga sitwasyon, ang pag-update pinaagi sa custombuild nakatabang usab.
Ayaw kalimti ang paghimo og mga backup sa wala pa ang ingon nga mga eksperimento, ug siguruha usab nga sa wala pa / pagkahuman sa pag-update ang tanan nga mga proseso sa Exim naa sa daan nga bersyon ug dili "giugbok" sa panumduman.
Source: www.habr.com