I culleghi chì utilizanu e versioni Exim 4.87...4.91 nantu à i so servitori di mail - aghjurnà urgentemente à a versione 4.92, avè cessatu prima Exim stessu per evità di pirate per CVE-2019-10149.
Diversi milioni di servitori in u mondu sò potenzialmente vulnerabili, a vulnerabilità hè classificata cum'è critica (puntu di basa CVSS 3.0 = 9.8/10). L'attaccanti ponu eseguisce cumandamenti arbitrarie nantu à u vostru servitore, in parechji casi da root.
Per piacè assicuratevi chì site aduprate una versione fissa (4.92) o una chì hè digià stata patched.
O patch u esistente, vede u filu .
Actualizazione per centu 6: cm. - per centos 7 funziona ancu, s'ellu ùn hè ancu ghjuntu direttamente da epel.
UPD: Ubuntu hè affettatu 18.04 è 18.10, una aghjurnazione hè stata liberata per elli. E versioni 16.04 è 19.04 ùn sò micca affettate, salvu chì l'opzioni persunalizate sò state installate nantu à elli. Più dettagli .
Avà u prublema descritta hè attivamente sfruttatu (da un bot, presumibilmente), aghju nutatu una infizzione in certi servitori (in esecuzione in 4.91).
Ulteriori lettura sò pertinenti solu per quelli chì anu digià "ottenutu" - avete bisognu di trasportà tuttu à un VPS pulitu cù un software frescu, o cercate una suluzione. Pruvemu? Scrivite se qualcunu pò superà stu malware.
Sè vo, essendu un utilizatore Exim è leghje questu, ùn avete micca aghjurnatu (ùn avete micca assicuratu chì 4.92 o una versione patched hè dispunibule), fermate è corre per aghjurnà.
Per quelli chì sò digià arrivati, cuntinuemu...
UPS: è dà u cunsigliu ghjustu:
Ci pò esse una grande varietà di malware. Lanciandu a medicina per a cosa sbagliata è sguassate a fila, l'utilizatore ùn serà micca guaritu è ùn pò micca sapè ciò chì deve esse trattatu.
L'infezzione hè nota cusì: [kthrotlds] carica u processatore; nantu à un VDS debule hè 100%, in i servitori hè più debule ma notevuli.
Dopu à l'infezzione, u malware sguassate e voci cron, registrendu solu ellu stessu per eseguisce ogni 4 minuti, mentre rende u schedariu crontab immutable. Crontab -e ùn pò micca salvà i cambiamenti, dà un errore.
Immutable pò esse eliminatu, per esempiu, cusì, è dopu sguassate a linea di cummanda (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Dopu, in l'editor crontab (vim), sguassate a linea è salvate:dd
:wq
Tuttavia, alcuni di i prucessi attivi sò soprascritti di novu, l'aghju capitu.
À u listessu tempu, ci sò una mansa di wgets attivi (o curls) appesi nantu à l'indirizzi da u scrittore di l'installazione (vede quì sottu), l'aghju abbattutu cusì per avà, ma cumincianu di novu:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Aghju trovu l'script di l'installazione di Troia quì (centos): /usr/local/bin/nptd... Ùn l'aghju micca publicatu per evitari, ma se qualchissia hè infettatu è capisce i script di shell, per piacè studià cù più cura.
Aghju aghjustatu cum'è l'infurmazione hè aghjurnata.
UPD 1: L'eliminazione di i fugliali (cù chattr -i preliminari) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ùn hà micca aiutatu, nè ferma u serviziu - aghju avutu à crontab completamente per avà strappallu (rinomina u schedariu bin).
UPD 2: L'installatore di Troia era qualchì volta ancu in altri posti, a ricerca per dimensione aiutava:
truvà / -size 19825c
UPD 3/XNUMX/XNUMX : Attenzione! In più di disattivà selinux, u Trojan aghjunghje ancu u so propiu chjave SSH in ${sshdir}/authorized_keys! È attivate i seguenti campi in /etc/ssh/sshd_config, s'ellu ùn hè micca digià statu stabilitu à SI:
PermitRootLogin iè
RSAAuthentication sì
PubkeyAuthentication iè
echo UsePAM sì
Password Authentication sì
UPD 4: Per riassume per avà: disattivà Exim, cron (cù radici), sguassate urgentemente a chjave di Troia da ssh è edità a cunfigurazione sshd, riavvia sshd! È ùn hè ancu chjaru chì questu aiuterà, ma senza ellu ci hè un prublema.
Aghju trasladatu infurmazione impurtante da i cumenti nantu à patches / aghjurnamenti à u principiu di a nota, perchè i lettori cumincianu cun ella.
UPD 5/XNUMX/XNUMX : chì u malware hà cambiatu password in WordPress.
UPD 6/XNUMX/XNUMX : , testemu ! Dopu un reboot o shutdown, a medicina pare sparisce, ma per avà almenu hè questu.
Qualchidunu chì faci (o trova) una suluzione stabile, per piacè scrivite, aiutarete parechji.
UPD 7/XNUMX/XNUMX : scrive:
Se ùn avete micca digià dettu chì u virus hè risuscitatu grazia à una lettera micca mandata in Exim, quandu pruvate di mandà a lettera di novu, hè restaurata, cercate in /var/spool/exim4
Pudete sguassà tutta a fila Exim cusì:
exipick -i | xargs exim -Mrm
Verificate u numeru di entrate in a fila:
exim -bpc
UPD 8: Di novu : FirstVDS offre a so versione di u script per u trattamentu, pruvemu !
UPD 9: Sembra opere, Grazie per u script!
A cosa principal ùn hè micca di scurdà chì u servitore era digià cumprumissu è l'attaccanti puderianu riesciutu à piantà più cose atipiche (micca listate in u dropper).
Dunque, hè megliu passà à un servitore cumplettamente installatu (vds), o almenu cuntinuà à seguità u tema - se ci hè qualcosa di novu, scrivite in i cumenti quì, perchè ovviamente micca tutti ùn passanu à una nova installazione ...
UPD 10: Grazie di novu : ricorda chì micca solu i servitori sò infettati, ma ancu Raspberry Pi, è ogni tipu di machini virtuale... Allora dopu avè salvatu i servitori, ùn vi scurdate di salvà i vostri video console, robots, etc.
UPD 11: Da Nota impurtante per i guaritori manuali:
(dopu aduprà unu o un altru mètudu di cumbattimentu di stu malware)
Avete bisognu di riavvià - u malware si trova in qualchì locu in prucessi aperti è, per quessa, in memoria, è si scrive un novu per cronà ogni 30 seconde.
UPD 12/XNUMX/XNUMX : Exim hà un altru (?) malware in a so fila è vi cunsigliu di studià u vostru prublema specificu prima di inizià u trattamentu.
UPD 13/XNUMX/XNUMX : piuttostu, spustà à un sistema pulito, è trasfiriri i schedari assai cura, perchè U malware hè digià dispunibule publicamente è pò esse usatu in altri modi, menu evidenti è più periculosi.
UPD 14: rassicurendu chì e persone intelligenti ùn correnu micca da a radica - una cosa più :
Ancu s'ellu ùn funziona micca da a ràdica, u pirate hè accadutu... Aghju debian jessie UPD: stende nantu à u mo OrangePi, Exim hè in esecuzione da Debian-exim è sempre pirate hè accadutu, corone perse, etc.
UPD 15: quandu si move in un servitore pulitu da un cumprumissu, ùn vi scurdate micca di l'igiene, :
Quandu trasferenu dati, fate attenzione micca solu à i fugliali eseguibili o di cunfigurazione, ma ancu à tuttu ciò chì pò cuntene cumandamenti maliziusi (per esempiu, in MySQL questu puderia esse CREATE TRIGGER o CREATE EVENT). Inoltre, ùn vi scurdate micca di .html, .js, .php, .py è altri schedarii publichi (idealmente sti schedari, cum'è l'altri dati, deve esse restaurati da u locu o un altru almacenamentu di fiducia).
UPD 16/XNUMX/XNUMX : и : u sistema avia una versione di Exim installata in i porti, ma in realità era in esecuzione un altru.
Allora tutti dopu à l'aghjurnamentu duvete esse sicuru chì site cù a nova versione!
exim --versionAvemu risoltu a so situazione specifica inseme.
U servitore hà utilizatu DirectAdmin è u so vechju pacchettu da_exim (versione vechja, senza vulnerabilità).
À u listessu tempu, cù l'aiutu di u gestore di pacchetti custombuild di DirectAdmin, in fattu, una versione più nova di Exim hè stata installata, chì era digià vulnerabile.
In questa situazione particulare, l'aghjurnamentu via custombuild hà ancu aiutatu.
Ùn vi scurdate di fà una copia di salvezza prima di tali esperimenti, è assicuratevi ancu chì prima / dopu l'aghjurnamentu tutti i prucessi Exim sò di a versione vechja. è micca "stuck" in memoria.
Source: www.habr.com