Ang mga kauban nga naggamit sa Exim nga mga bersyon 4.87...4.91 sa ilang mga mail server - dinalian nga nag-update sa bersyon 4.92, nga una nga gipahunong ang Exim mismo aron malikayan ang pag-hack pinaagi sa CVE-2019-10149.
Daghang milyon nga mga server sa tibuuk kalibutan ang lagmit nga mahuyang, ang pagkahuyang gi-rate nga kritikal (CVSS 3.0 base score = 9.8/10). Ang mga tig-atake mahimong magpadagan ug arbitraryong mga sugo sa imong server, sa daghang mga kaso gikan sa gamut.
Palihug siguroha nga ikaw naggamit ug fixed nga bersyon (4.92) o usa nga na-patch na.
O i-patch ang naa na, tan-awa ang hilo
Update para sa centos 6: cm.
UPD: Naapektuhan ang Ubuntu 18.04 ug 18.10, usa ka update ang gipagawas alang kanila. Ang mga bersyon 16.04 ug 19.04 dili maapektuhan gawas kung ang mga kapilian nga naandan gi-install sa kanila. Dugang detalye
Karon ang problema nga gihulagway didto aktibo nga gipahimuslan (sa usa ka bot, lagmit), nakamatikod ako usa ka impeksyon sa pipila nga mga server (nagdagan sa 4.91).
Ang dugang nga pagbasa may kalabutan lamang alang sa mga "nakuha na" - kinahanglan nimo nga ibalhin ang tanan sa usa ka limpyo nga VPS nga adunay bag-ong software, o mangita usa ka solusyon. Atong sulayan? Isulat kung adunay makabuntog niini nga malware.
Kung ikaw, nga usa ka tiggamit sa Exim ug nagbasa niini, wala gihapon mag-update (wala makasiguro nga ang 4.92 o usa ka patched nga bersyon magamit), palihug hunong ug dagan aron ma-update.
Sa mga nakaabot na didto, padayon ta...
UPS:
Mahimong adunay daghang lainlain nga malware. Pinaagi sa paglansad sa tambal alang sa sayup nga butang ug paghawan sa pila, ang tiggamit dili mamaayo ug mahimong dili mahibal-an kung unsa ang kinahanglan niyang tambalan.
Ang impeksyon mamatikdan sama niini: [kthrotlds] nagkarga sa processor; sa usa ka huyang nga VDS kini 100%, sa mga server kini mas huyang apan mamatikdan.
Pagkahuman sa impeksyon, gitangtang sa malware ang mga entry sa cron, nagparehistro lamang sa kaugalingon didto aron modagan matag 4 minuto, samtang gihimo ang crontab file nga dili mausab. Crontab -e dili makatipig sa mga pagbag-o, naghatag usa ka sayup.
Ang dili mausab mahimong tangtangon, pananglitan, sama niini, ug unya tangtangon ang command line (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sunod, sa crontab editor (vim), kuhaa ang linya ug i-save:dd
:wq
Bisan pa, ang pipila sa mga aktibo nga proseso gi-overwriting pag-usab, akong gihunahuna kini.
Sa parehas nga oras, adunay daghang mga aktibo nga wgets (o mga curl) nga nagbitay sa mga adres gikan sa script sa installer (tan-awa sa ubos), gitumba ko sila sama niini sa pagkakaron, apan nagsugod sila pag-usab:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Nakit-an nako ang script sa pag-install sa Trojan dinhi (centos): /usr/local/bin/nptd... Wala ko kini gi-post aron malikayan kini, apan kung adunay nataptan ug nakasabut sa mga script sa shell, palihug tun-i kini nga labi ka maayo.
Akong idugang samtang gi-update ang impormasyon.
UPD 1: Ang pagtangtang sa mga file (nga adunay preliminary chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root wala makatabang, ni mihunong sa serbisyo - kinahanglan nako crontab sa bug-os sa pagkakaron gub-on kini (ilisan ang ngalan sa bin file).
UPD 2: Ang Trojan installer usahay naghigda sa ubang mga lugar, ang pagpangita sa gidak-on nakatabang:
pangitaa / -gidak-on 19825c
UPD 3/XNUMX/XNUMX: Pasidaan Dugang sa pag-disable sa selinux, ang Trojan usab nagdugang sa iyang kaugalingon SSH yawe sa ${sshdir}/authorized_keys! Ug i-aktibo ang mosunod nga mga natad sa /etc/ssh/sshd_config, kung wala pa kini ibutang sa YES:
PermitRootLogin oo
RSAAuthentication oo
PubkeyAuthentication oo
echo UsePAM oo
PasswordAuthentication oo
UPD 4: Sa pag-summarize sa pagkakaron: pag-disable sa Exim, cron (nga adunay mga gamot), kuhaa dayon ang Trojan key gikan sa ssh ug i-edit ang sshd config, i-restart ang sshd! Ug dili pa klaro nga kini makatabang, apan kung wala kini adunay problema.
Gibalhin nako ang hinungdanon nga kasayuran gikan sa mga komento bahin sa mga patch / update sa sinugdanan sa nota, aron ang mga magbabasa magsugod niini.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Bisan kinsa nga naghimo (o nakakaplag) usa ka lig-on nga solusyon, palihug isulat, makatabang ka sa daghan.
UPD 7/XNUMX/XNUMX:
Kung wala pa nimo giingon nga ang virus nabanhaw salamat sa usa ka wala ipadala nga sulat sa Exim, kung gisulayan nimo nga ipadala ang sulat pag-usab, kini gipahiuli, tan-awa sa /var/spool/exim4
Mahimo nimong malimpyohan ang tibuuk nga pila sa Exim sama niini:
exipick -i | xargs exim -Mrm
Pagsusi sa gidaghanon sa mga entry sa pila:
exim -bpc
UPD 8: Pag-usab
UPD 9: Murag mga buhat, salamat
Ang nag-unang butang mao ang dili pagkalimot nga ang server nakompromiso na ug ang mga tig-atake mahimo nga makahimo sa pagtanom sa pipila ka mga dili tipikal nga daotan nga mga butang (wala gilista sa dropper).
Busa, mas maayo nga mobalhin sa usa ka bug-os nga na-install nga server (vds), o labing menos magpadayon sa pag-monitor sa hilisgutan - kung adunay bag-o, isulat sa mga komento dinhi, tungod kay klaro nga dili tanan mobalhin sa usa ka bag-ong instalasyon...
UPD 10: Salamat pag-usab
UPD 11: Gikan sa
(pagkahuman sa paggamit sa usa o lain nga pamaagi sa pagbatok niini nga malware)
Kinahanglan gyud nimo nga i-reboot - ang malware naglingkod sa usa ka lugar sa bukas nga mga proseso ug, sa ingon, sa panumduman, ug nagsulat sa kaugalingon nga usa ka bag-o aron ma-cron matag 30 segundos
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: pagpasalig sa atong kaugalingon nga ang mga maalamon nga mga tawo dili modagan gikan sa gamut - usa pa ka butang
Bisan kung dili kini molihok gikan sa gamut, mahitabo ang pag-hack ... Ako adunay debian jessie UPD: pag-inat sa akong OrangePi, ang Exim nagdagan gikan sa Debian-exim ug nahitabo gihapon ang pag-hack, nawala nga mga korona, ug uban pa.
UPD 15: kung mobalhin sa usa ka limpyo nga server gikan sa usa nga nakompromiso, ayaw kalimti ang bahin sa kahinlo,
Kung magbalhin ug data, hatagi ug pagtagad dili lang ang mga executable o configuration file, kondili ang bisan unsa nga mahimong adunay malisyosong mga sugo (pananglitan, sa MySQL mahimo kini nga CREATE TRIGGER o CREATE EVENT). Usab, ayaw kalimti ang mahitungod sa .html, .js, .php, .py ug uban pang publikong mga payl (mas maayo kini nga mga payl, sama sa ubang mga datos, kinahanglang ibalik gikan sa lokal o uban pang kasaligang storage).
UPD 16/XNUMX/XNUMX:
Busa ang tanan pagkahuman sa pag-update kinahanglan nimong sigurohon nga imong gigamit ang bag-ong bersyon!
exim --version
Among gihusay ang ilang piho nga kahimtang nga magkauban.
Gigamit sa server ang DirectAdmin ug ang daan nga pakete nga da_exim (daan nga bersyon, walaβy kahuyang).
Sa samang higayon, uban sa tabang sa custombuild package manager sa DirectAdmin, sa pagkatinuod, usa ka bag-ong bersyon sa Exim ang na-install, nga huyang na.
Niini nga partikular nga sitwasyon, ang pag-update pinaagi sa custombuild nakatabang usab.
Ayaw kalimti ang paghimo og mga backup sa wala pa ang ingon nga mga eksperimento, ug siguruha usab nga sa wala pa / pagkahuman sa pag-update ang tanan nga mga proseso sa Exim naa sa daan nga bersyon
Source: www.habr.com