Cydweithwyr sy'n defnyddio fersiynau Exim 4.87...4.91 ar eu gweinyddwyr post - diweddaru ar frys i fersiwn 4.92, ar ôl rhoi'r gorau i Exim ei hun yn flaenorol i osgoi hacio trwy CVE-2019-10149.
Mae sawl miliwn o weinyddion ledled y byd o bosibl yn agored i niwed, mae'r bregusrwydd yn cael ei raddio'n hollbwysig (sgôr sylfaen CVSS 3.0 = 9.8/10). Gall ymosodwyr redeg gorchmynion mympwyol ar eich gweinydd, o'r gwraidd mewn llawer o achosion.
Gwnewch yn siŵr eich bod yn defnyddio fersiwn sefydlog (4.92) neu un sydd eisoes wedi'i glytio.
Neu clwtiwch yr un presennol, gweler yr edefyn
Diweddariad ar gyfer centos 6: cm.
UPD: Effeithir ar Ubuntu 18.04 a 18.10, mae diweddariad wedi'i ryddhau ar eu cyfer. Nid yw fersiynau 16.04 a 19.04 yn cael eu heffeithio oni bai bod opsiynau arferol wedi'u gosod arnynt. Mwy o fanylion
Nawr bod y broblem a ddisgrifir yno yn cael ei hecsbloetio'n weithredol (gan bot, yn ôl pob tebyg), sylwais ar haint ar rai gweinyddwyr (yn rhedeg ar 4.91).
Mae darllen pellach yn berthnasol yn unig i'r rhai sydd eisoes wedi ei “gael” - mae angen i chi naill ai gludo popeth i VPS glân gyda meddalwedd ffres, neu chwilio am ateb. A gawn ni geisio? Ysgrifennwch a all unrhyw un oresgyn y malware hwn.
Os ydych chi, yn ddefnyddiwr Exim ac yn darllen hwn, yn dal heb ddiweddaru (heb wneud yn siŵr bod 4.92 neu fersiwn glytiog ar gael), stopiwch a rhedeg i ddiweddaru.
I'r rhai sydd eisoes wedi cyrraedd yno, gadewch i ni barhau...
DIWEDDARIAD:
Gall fod amrywiaeth fawr o malware. Trwy lansio'r feddyginiaeth ar gyfer y peth anghywir a chlirio'r ciw, ni fydd y defnyddiwr yn cael ei wella ac efallai na fydd yn gwybod am beth y mae angen ei drin.
Mae'r haint yn amlwg fel hyn: [kthrotlds] yn llwytho'r prosesydd; ar VDS gwan mae'n 100%, ar weinyddion mae'n wannach ond yn amlwg.
Ar ôl haint, mae'r malware yn dileu cofnodion cron, gan gofrestru ei hun yno yn unig i redeg bob 4 munud, tra'n gwneud y ffeil crontab yn ddigyfnewid. Crontab -e methu arbed newidiadau, yn rhoi gwall.
Gellir dileu ansymudol, er enghraifft, fel hyn, ac yna dileu'r llinell orchymyn (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Nesaf, yn y golygydd crontab (vim), dilëwch y llinell a chadwch:dd
:wq
Fodd bynnag, mae rhai o'r prosesau gweithredol yn cael eu trosysgrifo eto, rwy'n ei ddarganfod.
Ar yr un pryd, mae yna griw o wgets gweithredol (neu gyrlau) yn hongian ar y cyfeiriadau o'r sgript gosodwr (gweler isod), rydw i'n eu dymchwel fel hyn am y tro, ond maen nhw'n dechrau eto:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Deuthum o hyd i'r sgript gosodwr Trojan yma (centos): /usr/local/bin/nptd... Nid wyf yn ei bostio i'w osgoi, ond os oes unrhyw un wedi'i heintio ac yn deall sgriptiau cregyn, astudiwch ef yn fwy gofalus.
Byddaf yn ychwanegu wrth i wybodaeth gael ei diweddaru.
UPD 1: Nid oedd dileu ffeiliau (gyda chattr -i rhagarweiniol) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root yn helpu, ac nid oedd atal y gwasanaeth ychwaith - roedd yn rhaid i mi crontab yn llwyr am y tro ei rwygo allan (ailenwi'r ffeil bin).
UPD 2: Roedd y gosodwr Trojan weithiau hefyd yn gorwedd o gwmpas mewn mannau eraill, roedd chwilio yn ôl maint yn helpu:
darganfod/-size 19825c
UPD 3/XNUMX/XNUMX: Sylw! Yn ogystal ag analluogi selinux, mae y pren Troea hefyd yn ychwanegu ei hun Allwedd SSH mewn ${sshdir}/authorized_keys! Ac yn actifadu'r meysydd canlynol yn /etc/ssh/sshd_config, os nad ydynt eisoes wedi'u gosod i OES:
PermitRootLogin ie
Dilysiad RSAA ydy
PubkeyAuthentication ie
adleisio UsePAM ie
Cyfrinair Dilysu ie
UPD 4: I grynhoi am y tro: analluoga Exim, cron (gyda gwreiddiau), tynnwch yr allwedd Trojan o ssh ar frys a golygu'r config sshd, ailgychwyn sshd! Ac nid yw'n glir eto a fydd hyn yn helpu, ond hebddo mae problem.
Symudais wybodaeth bwysig o'r sylwadau am glytiau/diweddariadau i ddechrau'r nodyn, fel bod darllenwyr yn dechrau ag ef.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Unrhyw un sy'n gwneud (neu'n canfod) datrysiad sefydlog, ysgrifennwch, byddwch chi'n helpu llawer.
UPD 7/XNUMX/XNUMX:
Os nad ydych eisoes wedi dweud bod y firws wedi'i atgyfodi diolch i lythyr nas anfonwyd yn Exim, pan geisiwch anfon y llythyr eto, mae'n cael ei adfer, edrychwch yn /var/spool/exim4
Gallwch glirio'r ciw Exim cyfan fel hyn:
exipick -i | xargs exim -Mrm
Gwirio nifer y cofnodion yn y ciw:
exim -bpc
UPD 8: Eto
UPD 9: Mae'n edrych fel gwaith, diolch
Y prif beth yw peidio ag anghofio bod y gweinydd eisoes wedi'i beryglu a gallai'r ymosodwyr fod wedi llwyddo i blannu rhai pethau cas mwy annodweddiadol (heb eu rhestru yn y dropiwr).
Felly, mae'n well symud i weinydd sydd wedi'i osod yn llwyr (vds), neu o leiaf barhau i fonitro'r pwnc - os oes unrhyw beth newydd, ysgrifennwch y sylwadau yma, oherwydd yn amlwg ni fydd pawb yn symud i osodiad newydd...
UPD 10: Diolch eto
UPD 11: Oddi wrth
(ar ôl defnyddio un neu ddull arall o frwydro yn erbyn y malware hwn)
Yn bendant mae angen i chi ailgychwyn - mae'r malware yn eistedd yn rhywle mewn prosesau agored ac, yn unol â hynny, yn y cof, ac yn ysgrifennu un newydd i cron bob 30 eiliad
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: rhoi sicrwydd i ni ein hunain nad yw pobl glyfar yn rhedeg o'u gwreiddiau - un peth arall
Hyd yn oed os nad yw'n gweithio o'r gwraidd, mae hacio'n digwydd ... Mae gen i jessie debian UPD: ymestyn ar fy OrangePi, mae Exim yn rhedeg o Debian-exim ac mae hacio wedi digwydd o hyd, colli coronau, ac ati.
UPD 15: wrth symud i weinydd glân o weinydd dan fygythiad, peidiwch ag anghofio am hylendid,
Wrth drosglwyddo data, rhowch sylw nid yn unig i ffeiliau gweithredadwy neu gyfluniad, ond hefyd i unrhyw beth a allai gynnwys gorchmynion maleisus (er enghraifft, yn MySQL gallai hyn fod yn CREATE TRIGGER neu CREATE DIGWYDDIAD). Hefyd, peidiwch ag anghofio am .html, .js, .php, .py a ffeiliau cyhoeddus eraill (yn ddelfrydol dylai'r ffeiliau hyn, fel data arall, gael eu hadfer o storfa leol neu storfa ddibynadwy arall).
UPD 16/XNUMX/XNUMX:
Felly pawb ar ôl y diweddariad dylech wneud yn siŵr eich bod yn defnyddio'r fersiwn newydd!
exim --version
Fe wnaethon ni ddatrys eu sefyllfa benodol gyda'n gilydd.
Defnyddiodd y gweinydd DirectAdmin a'i hen becyn da_exim (hen fersiwn, heb fod yn agored i niwed).
Ar yr un pryd, gyda chymorth rheolwr pecyn custombuild DirectAdmin, mewn gwirionedd, gosodwyd fersiwn mwy newydd o Exim wedyn, a oedd eisoes yn agored i niwed.
Yn y sefyllfa benodol hon, roedd diweddaru trwy custombuild hefyd o gymorth.
Peidiwch ag anghofio gwneud copïau wrth gefn cyn arbrofion o'r fath, a hefyd sicrhau bod holl brosesau Exim o'r hen fersiwn cyn / ar ôl y diweddariad
Ffynhonnell: hab.com