Cydweithwyr sy'n defnyddio fersiynau Exim 4.87...4.91 ar eu gweinyddwyr post - diweddaru ar frys i fersiwn 4.92, ar ôl rhoi'r gorau i Exim ei hun yn flaenorol i osgoi hacio trwy CVE-2019-10149.
Mae sawl miliwn o weinyddion ledled y byd o bosibl yn agored i niwed, mae'r bregusrwydd yn cael ei raddio'n hollbwysig (sgôr sylfaen CVSS 3.0 = 9.8/10). Gall ymosodwyr redeg gorchmynion mympwyol ar eich gweinydd, o'r gwraidd mewn llawer o achosion.
Gwnewch yn siŵr eich bod yn defnyddio fersiwn sefydlog (4.92) neu un sydd eisoes wedi'i glytio.
Neu clwtiwch yr un presennol, gweler yr edefyn .
Diweddariad ar gyfer centos 6: cm. — ar gyfer centos 7 mae hefyd yn gweithio, os nad yw wedi cyrraedd yn uniongyrchol o epel eto.
UPD: Effeithir ar Ubuntu 18.04 a 18.10, mae diweddariad wedi'i ryddhau ar eu cyfer. Nid yw fersiynau 16.04 a 19.04 yn cael eu heffeithio oni bai bod opsiynau arferol wedi'u gosod arnynt. Mwy o fanylion .
Nawr bod y broblem a ddisgrifir yno yn cael ei hecsbloetio'n weithredol (gan bot, yn ôl pob tebyg), sylwais ar haint ar rai gweinyddwyr (yn rhedeg ar 4.91).
Mae darllen pellach yn berthnasol yn unig i'r rhai sydd eisoes wedi ei “gael” - mae angen i chi naill ai gludo popeth i VPS glân gyda meddalwedd ffres, neu chwilio am ateb. A gawn ni geisio? Ysgrifennwch a all unrhyw un oresgyn y malware hwn.
Os ydych chi, yn ddefnyddiwr Exim ac yn darllen hwn, yn dal heb ddiweddaru (heb wneud yn siŵr bod 4.92 neu fersiwn glytiog ar gael), stopiwch a rhedeg i ddiweddaru.
I'r rhai sydd eisoes wedi cyrraedd yno, gadewch i ni barhau...
DIWEDDARIAD: ac yn rhoi'r cyngor cywir:
Gall fod amrywiaeth fawr o malware. Trwy lansio'r feddyginiaeth ar gyfer y peth anghywir a chlirio'r ciw, ni fydd y defnyddiwr yn cael ei wella ac efallai na fydd yn gwybod am beth y mae angen ei drin.
Mae'r haint yn amlwg fel hyn: [kthrotlds] yn llwytho'r prosesydd; ar VDS gwan mae'n 100%, ar weinyddion mae'n wannach ond yn amlwg.
Ar ôl haint, mae'r malware yn dileu cofnodion cron, gan gofrestru ei hun yno yn unig i redeg bob 4 munud, tra'n gwneud y ffeil crontab yn ddigyfnewid. Crontab -e methu arbed newidiadau, yn rhoi gwall.
Gellir dileu ansymudol, er enghraifft, fel hyn, ac yna dileu'r llinell orchymyn (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Nesaf, yn y golygydd crontab (vim), dilëwch y llinell a chadwch:dd
:wq
Fodd bynnag, mae rhai o'r prosesau gweithredol yn cael eu trosysgrifo eto, rwy'n ei ddarganfod.
Ar yr un pryd, mae yna griw o wgets gweithredol (neu gyrlau) yn hongian ar y cyfeiriadau o'r sgript gosodwr (gweler isod), rydw i'n eu dymchwel fel hyn am y tro, ond maen nhw'n dechrau eto:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Deuthum o hyd i'r sgript gosodwr Trojan yma (centos): /usr/local/bin/nptd... Nid wyf yn ei bostio i'w osgoi, ond os oes unrhyw un wedi'i heintio ac yn deall sgriptiau cregyn, astudiwch ef yn fwy gofalus.
Byddaf yn ychwanegu wrth i wybodaeth gael ei diweddaru.
UPD 1: Nid oedd dileu ffeiliau (gyda chattr -i rhagarweiniol) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root yn helpu, ac nid oedd atal y gwasanaeth ychwaith - roedd yn rhaid i mi crontab yn llwyr am y tro ei rwygo allan (ailenwi'r ffeil bin).
UPD 2: Roedd y gosodwr Trojan weithiau hefyd yn gorwedd o gwmpas mewn mannau eraill, roedd chwilio yn ôl maint yn helpu:
darganfod/-size 19825c
UPD 3/XNUMX/XNUMX: Sylw! Yn ogystal ag analluogi selinux, mae y pren Troea hefyd yn ychwanegu ei hun Allwedd SSH mewn ${sshdir}/authorized_keys! Ac yn actifadu'r meysydd canlynol yn /etc/ssh/sshd_config, os nad ydynt eisoes wedi'u gosod i OES:
PermitRootLogin ie
Dilysiad RSAA ydy
PubkeyAuthentication ie
adleisio UsePAM ie
Cyfrinair Dilysu ie
UPD 4: I grynhoi am y tro: analluoga Exim, cron (gyda gwreiddiau), tynnwch yr allwedd Trojan o ssh ar frys a golygu'r config sshd, ailgychwyn sshd! Ac nid yw'n glir eto a fydd hyn yn helpu, ond hebddo mae problem.
Symudais wybodaeth bwysig o'r sylwadau am glytiau/diweddariadau i ddechrau'r nodyn, fel bod darllenwyr yn dechrau ag ef.
UPD 5/XNUMX/XNUMX: bod y malware wedi newid cyfrineiriau yn WordPress.
UPD 6/XNUMX/XNUMX: , gadewch i ni brofi! Ar ôl ailgychwyn neu gau, mae'n ymddangos bod y feddyginiaeth yn diflannu, ond am y tro o leiaf dyna ni.
Unrhyw un sy'n gwneud (neu'n canfod) datrysiad sefydlog, ysgrifennwch, byddwch chi'n helpu llawer.
UPD 7/XNUMX/XNUMX: yn ysgrifennu:
Os nad ydych eisoes wedi dweud bod y firws wedi'i atgyfodi diolch i lythyr nas anfonwyd yn Exim, pan geisiwch anfon y llythyr eto, mae'n cael ei adfer, edrychwch yn /var/spool/exim4
Gallwch glirio'r ciw Exim cyfan fel hyn:
exipick -i | xargs exim -Mrm
Gwirio nifer y cofnodion yn y ciw:
exim -bpc
UPD 8: Eto : Cynigiodd FirstVDS eu fersiwn nhw o'r sgript driniaeth, gadewch i ni ei brofi!
UPD 9: Mae'n edrych fel gwaith, diolch am y sgript!
Y prif beth yw peidio ag anghofio bod y gweinydd eisoes wedi'i beryglu a gallai'r ymosodwyr fod wedi llwyddo i blannu rhai pethau cas mwy annodweddiadol (heb eu rhestru yn y dropiwr).
Felly, mae'n well symud i weinydd sydd wedi'i osod yn llwyr (vds), neu o leiaf barhau i fonitro'r pwnc - os oes unrhyw beth newydd, ysgrifennwch y sylwadau yma, oherwydd yn amlwg ni fydd pawb yn symud i osodiad newydd...
UPD 10: Diolch eto : mae'n atgoffa nad yn unig gweinyddwyr yn cael eu heintio, ond hefyd Mafon Pi, a phob math o beiriannau rhithwir... Felly ar ôl achub y gweinyddwyr, peidiwch ag anghofio arbed eich consolau fideo, robotiaid, ac ati.
UPD 11: Oddi wrth Nodyn pwysig ar gyfer iachawyr â llaw:
(ar ôl defnyddio un neu ddull arall o frwydro yn erbyn y malware hwn)
Yn bendant mae angen i chi ailgychwyn - mae'r malware yn eistedd yn rhywle mewn prosesau agored ac, yn unol â hynny, yn y cof, ac yn ysgrifennu un newydd i cron bob 30 eiliad
UPD 12/XNUMX/XNUMX: Mae gan Exim malware arall (?) yn ei giw ac mae'n eich cynghori i astudio'ch problem benodol yn gyntaf cyn dechrau triniaeth.
UPD 13/XNUMX/XNUMX: yn hytrach, symud i system lân, a throsglwyddo ffeiliau yn hynod ofalus, oherwydd Mae'r malware eisoes ar gael i'r cyhoedd a gellir ei ddefnyddio mewn ffyrdd eraill, llai amlwg a mwy peryglus.
UPD 14: rhoi sicrwydd i ni ein hunain nad yw pobl glyfar yn rhedeg o'u gwreiddiau - un peth arall :
Hyd yn oed os nad yw'n gweithio o'r gwraidd, mae hacio'n digwydd ... Mae gen i jessie debian UPD: ymestyn ar fy OrangePi, mae Exim yn rhedeg o Debian-exim ac mae hacio wedi digwydd o hyd, colli coronau, ac ati.
UPD 15: wrth symud i weinydd glân o weinydd dan fygythiad, peidiwch ag anghofio am hylendid, :
Wrth drosglwyddo data, rhowch sylw nid yn unig i ffeiliau gweithredadwy neu gyfluniad, ond hefyd i unrhyw beth a allai gynnwys gorchmynion maleisus (er enghraifft, yn MySQL gallai hyn fod yn CREATE TRIGGER neu CREATE DIGWYDDIAD). Hefyd, peidiwch ag anghofio am .html, .js, .php, .py a ffeiliau cyhoeddus eraill (yn ddelfrydol dylai'r ffeiliau hyn, fel data arall, gael eu hadfer o storfa leol neu storfa ddibynadwy arall).
UPD 16/XNUMX/XNUMX: и : roedd gan y system un fersiwn o Exim wedi'i gosod yn y porthladdoedd, ond mewn gwirionedd roedd yn rhedeg un arall.
Felly pawb ar ôl y diweddariad dylech wneud yn siŵr eich bod yn defnyddio'r fersiwn newydd!
exim --versionFe wnaethon ni ddatrys eu sefyllfa benodol gyda'n gilydd.
Defnyddiodd y gweinydd DirectAdmin a'i hen becyn da_exim (hen fersiwn, heb fod yn agored i niwed).
Ar yr un pryd, gyda chymorth rheolwr pecyn custombuild DirectAdmin, mewn gwirionedd, gosodwyd fersiwn mwy newydd o Exim wedyn, a oedd eisoes yn agored i niwed.
Yn y sefyllfa benodol hon, roedd diweddaru trwy custombuild hefyd o gymorth.
Peidiwch ag anghofio gwneud copïau wrth gefn cyn arbrofion o'r fath, a hefyd sicrhau bod holl brosesau Exim o'r hen fersiwn cyn / ar ôl y diweddariad ac nid “sownd” yn y cof.
Ffynhonnell: hab.com