Kolleegid, kes kasutavad oma meiliserveris Eximi versioone 4.87...4.91 – värskendage kiiresti versioonile 4.92, olles eelnevalt peatanud Eximi enda, et vältida CVE-2019-10149 kaudu häkkimist.
Mitu miljonit serverit üle maailma on potentsiaalselt haavatavad, haavatavus on hinnatud kriitiliseks (CVSS 3.0 baasskoor = 9.8/10). Ründajad võivad teie serveris käivitada suvalisi käske, paljudel juhtudel rootist.
Veenduge, et kasutate fikseeritud versiooni (4.92) või seda, mis on juba paigatud.
Või parandage olemasolevat, vaadake lõime .
Värskendus senti 6: cm. — centos 7 puhul töötab ka, kui pole veel otse epelist tulnud.
UPD: Ubuntu on mõjutatud 18.04 ja 18.10, on nende jaoks välja antud värskendus. See ei mõjuta versioone 16.04 ja 19.04, välja arvatud juhul, kui neile on installitud kohandatud suvandid. Rohkem detaile .
Nüüd kasutatakse seal kirjeldatud probleemi aktiivselt ära (arvatavasti bot), märkasin mõnel serveril nakatumist (töötab 4.91-l).
Edasine lugemine on asjakohane ainult neile, kes on selle juba "saanud" - peate kas transportima kõik värske tarkvaraga puhtasse VPS-i või otsima lahendust. Kas proovime? Kirjutage, kas keegi saab sellest pahavarast jagu.
Kui olete Eximi kasutaja ja seda lugedes ei ole ikka veel värskendanud (pole veendunud, et 4.92 või paigatud versioon on saadaval), lõpetage ja käivitage värskendamine.
Kes on sinna juba jõudnud, siis jätkame...
UPD: ja annab õiget nõu:
Pahavara võib olla väga erinevaid. Vale asja eest ravimit käivitades ja järjekorda tühjendades ei saa kasutaja terveks ega pruugi teada, mille vastu ta ravi vajab.
Nakkus on märgatav järgmiselt: [kthrotlds] laadib protsessori; nõrgal VDS-il on see 100%, serverites nõrgem, kuid märgatav.
Pärast nakatumist kustutab pahavara cron-kirjed, registreerides seal käitamiseks ainult ennast iga 4 minuti järel, muutes samal ajal crontab-faili muutumatuks. Crontab -e ei saa muudatusi salvestada, annab veateate.
Immutable saab eemaldada näiteks nii ja seejärel kustutada käsurida (1.5 kb):
chattr -i /var/spool/cron/root
crontab -e
Järgmisena kustutage crontabi redaktoris (vim) rida ja salvestage:dd
:wq
Kuid mõned aktiivsed protsessid kirjutavad uuesti üle, ma mõtlen selle välja.
Samal ajal ripub installeri skripti aadresside küljes hunnik aktiivseid wgete (või lokke) (vt allpool), ma löön need praegu maha nii, aga need algavad uuesti:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Trooja installiskripti leidsin siit (centos): /usr/local/bin/nptd... Ma ei postita seda selle vältimiseks, aga kui keegi on nakatunud ja mõistab shelliskripte, siis uurige seda tähelepanelikumalt.
Lisan vastavalt info uuenemisele.
UPD 1: failide kustutamine (koos esialgse chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ei aidanud ega ka teenuse peatamine - pidin crontab rebige see praegu täielikult välja (nimetage bin-fail ümber).
UPD 2: Trooja installer lebas mõnikord ka mujal, suuruse järgi otsimine aitas:
leia / -suurus 19825c
UPD 3: Hoiatus! Lisaks selinuxi keelamisele lisab trooja ka oma SSH-võti ${sshdir}/authorized_keys! Ja aktiveerib failis /etc/ssh/sshd_config järgmised väljad, kui need pole juba määratud väärtusele YES:
PermitRootLogin jah
RSAAutentimine jah
PubkeyAuthentication jah
echo UsePAM jah
Parooli autentimine jah
UPD 4: Praeguseks kokkuvõtteks: keelake Exim, cron (juurtega), eemaldage kiiresti ssh-st Trooja võti ja redigeerige sshd konfiguratsiooni, taaskäivitage sshd! Ja pole veel selge, kas see aitab, kuid ilma selleta on probleem.
Tõstsin olulise teabe paikade/värskenduste kommentaaridest märkuse algusesse, et lugejad alustaksid sellest.
UPD 5: et pahavara muutis WordPressis paroole.
UPD 6: , teeme testi! Pärast taaskäivitamist või seiskamist näib, et ravim kaob, kuid praegu on see kõik.
Kes teeb (või leiab) stabiilse lahenduse, palun kirjutage, aitate paljusid.
UPD 7: kirjutab:
Kui te pole veel öelnud, et viirus ärkas ellu tänu Eximis saatmata kirjale, siis kui proovite kirja uuesti saata, taastatakse see, vaadake failist /var/spool/exim4
Saate kogu Exim järjekorra tühjendada järgmiselt:
exipick -i | xargs exim -Hr
Järjekorras olevate kirjete arvu kontrollimine:
exim -bpc
UPD 8: Jällegi : FirstVDS pakkus oma versiooni raviskriptist, proovime seda!
UPD 9: Tundub ehitustööd, aitäh stsenaariumi jaoks!
Peaasi, et mitte unustada, et server oli juba rikutud ja ründajatel oleks võinud õnnestuda istutada veel ebatüüpilisemaid vastikuid asju (ei ole dropperis kirjas).
Seetõttu on parem liikuda täielikult installitud serverisse (vds) või vähemalt jätkata teema jälgimist - kui on midagi uut, kirjutage siia kommentaaridesse, sest ilmselgelt kõik ei liigu uuele paigaldusele...
UPD 10: Tänan veel kord : see tuletab meelde, et nakatunud pole mitte ainult serverid, vaid ka Raspberry Pi, ja kõikvõimalikud virtuaalmasinad... Nii et pärast serverite salvestamist ärge unustage salvestada oma videokonsoole, roboteid jne.
UPD 11: alates Oluline märkus käsitsi ravijatele:
(pärast ühe või teise meetodi kasutamist selle pahavara vastu võitlemiseks)
Peate kindlasti taaskäivitama - pahavara istub kuskil avatud protsessides ja vastavalt ka mällu ning kirjutab iga 30 sekundi järel endale uue, et cron
UPD 12: Eximil on järjekorras veel üks(?) pahavara ja see soovitab enne ravi alustamist oma konkreetse probleemiga tutvuda.
UPD 13: pigem liikuge puhtale süsteemile ja edastage faile äärmiselt ettevaatlikult, sest Pahavara on juba avalikult saadaval ja seda saab kasutada muul, vähem ilmselgemal ja ohtlikumal viisil.
UPD 14: kinnitame endale, et targad inimesed ei jookse juurtest – veel üks asi :
Isegi kui see juurtest ei tööta, tekib häkkimine... Mul on debian jessie UPD: venitan mu OrangePi peal, Exim töötab Debian-eximist ja ikka juhtus häkkimist, kadunud kroone jne.
UPD 15: kui kolite kahjustatud serverist puhtale serverile, ärge unustage hügieeni, :
Andmete edastamisel pöörake tähelepanu mitte ainult käivitatavatele või konfiguratsioonifailidele, vaid ka kõigele, mis võib sisaldada pahatahtlikke käske (näiteks MySQL-is võib see olla CREATE TRIGGER või CREATE EVENT). Samuti ärge unustage .html, .js, .php, .py ja muid avalikke faile (ideaaljuhul tuleks need failid, nagu ka muud andmed, taastada kohalikust või muust usaldusväärsest salvestusruumist).
UPD 16: и : süsteemis oli portidesse installitud üks Eximi versioon, kuid tegelikkuses kasutas see teist.
Nii et kõik pärast värskendamist peaksite veenduma et kasutate uut versiooni!
exim --versionLahendasime koos nende konkreetse olukorra.
Server kasutas DirectAdminit ja selle vana da_exim paketti (vana versioon, ilma haavata).
Samal ajal, kasutades DirectAdmini kohandatud paketihaldurit, installiti tegelikult Eximi uuem versioon, mis oli juba haavatav.
Selles konkreetses olukorras aitas ka värskendamine custombuildi kaudu.
Ärge unustage enne selliseid katseid teha varukoopiaid ja veenduge, et kõik Exim protsessid oleksid enne/pärast värskendamist vanast versioonist ja mitte "kinni" mällu.
Allikas: www.habr.com