همکارانی که از نسخههای Exim 4.87...4.91 در سرورهای ایمیل خود استفاده میکنند - فوراً به نسخه 4.92 بهروزرسانی میشوند، زیرا قبلاً خود Exim را متوقف کردهاند تا از هک شدن از طریق CVE-2019-10149 جلوگیری کنند.
چندین میلیون سرور در سراسر جهان به طور بالقوه آسیب پذیر هستند، این آسیب پذیری به عنوان بحرانی رتبه بندی شده است (امتیاز پایه CVSS 3.0 = 9.8/10). مهاجمان می توانند دستورات دلخواه را در سرور شما اجرا کنند، در بسیاری از موارد از ریشه.
لطفاً مطمئن شوید که از نسخه ثابت (4.92) یا نسخه ای که قبلاً وصله شده است استفاده می کنید.
یا موجود را وصله کنید، به موضوع مراجعه کنید
به روز رسانی برای 6: سانتی متر.
UPD: اوبونتو تحت تأثیر قرار گرفته است 18.04 و 18.10، به روز رسانی برای آنها منتشر شده است. نسخه های 16.04 و 19.04 تحت تأثیر قرار نمی گیرند مگر اینکه گزینه های سفارشی روی آنها نصب شده باشد. جزئیات بیشتر
اکنون مشکلی که در آنجا توضیح داده شده است به طور فعال مورد سوء استفاده قرار می گیرد (احتمالاً توسط یک ربات)، من متوجه عفونت در برخی از سرورها (در حال اجرا در 4.91) شدم.
خواندن بیشتر فقط برای کسانی مرتبط است که قبلاً "آن را دریافت کرده اند" - باید همه چیز را با نرم افزار تازه به یک VPS تمیز منتقل کنید یا به دنبال راه حل باشید. سعی کنیم؟ بنویسید آیا کسی می تواند بر این بدافزار غلبه کند.
اگر شما که کاربر Exim هستید و این مطلب را می خوانید، هنوز آپدیت نکرده اید (از موجود بودن نسخه 4.92 یا وصله شده مطمئن نشده اید)، لطفاً توقف کرده و برای به روز رسانی اجرا کنید.
برای کسانی که قبلاً به آنجا رسیده اند ، ادامه دهید ...
UPD:
بدافزارها می توانند تنوع زیادی داشته باشند. با راه اندازی دارو برای کار اشتباه و پاک کردن صف، کاربر درمان نمی شود و ممکن است نداند برای چه چیزی باید تحت درمان قرار گیرد.
عفونت به این صورت قابل توجه است: [kthrotlds] پردازنده را بارگذاری می کند. در VDS ضعیف 100٪ است، در سرورها ضعیف تر است اما قابل توجه است.
پس از آلوده شدن، بدافزار ورودیهای cron را حذف میکند و فقط خودش را در آنجا ثبت میکند تا هر 4 دقیقه یک بار اجرا شود، در حالی که فایل crontab را غیرقابل تغییر میکند. Crontab -e نمی تواند تغییرات را ذخیره کند، خطا می دهد.
Immutable می تواند حذف شود، به عنوان مثال، به این صورت، و سپس خط فرمان (1.5 کیلوبایت) را حذف کنید:
chattr -i /var/spool/cron/root
crontab -e
سپس، در ویرایشگر crontab (vim)، خط را حذف کرده و ذخیره کنید:dd
:wq
با این حال، برخی از فرآیندهای فعال دوباره در حال بازنویسی هستند، من در حال کشف آن هستم.
در همان زمان، دستهای از wgets (یا curls) فعال روی آدرسهای اسکریپت نصبکننده آویزان هستند (پایین را ببینید)، فعلاً آنها را به این شکل خراب میکنم، اما دوباره شروع میکنند:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
من اسکریپت نصب کننده تروجان را اینجا (centos) پیدا کردم: /usr/local/bin/nptd... من آن را برای جلوگیری از آن پست نمی کنم، اما اگر کسی آلوده است و اسکریپت های پوسته را می فهمد، لطفاً آن را با دقت بیشتری مطالعه کنید.
با به روز شدن اطلاعات اضافه خواهم کرد.
UPD 1: حذف فایل ها (با chattr -i مقدماتی) /etc/cron.d/root، /etc/crontab، rm -Rf /var/spool/cron/root کمکی نکرد، و همچنین توقف سرویس کمکی نکرد - مجبور شدم crontab فعلاً آن را کاملاً پاره کنید (نام فایل bin را تغییر دهید).
UPD 2: نصب کننده تروجان گاهی اوقات در جاهای دیگر هم دراز می کشید، جستجو بر اساس اندازه کمک کرد:
find / -size 19825c
UPD3: اخطار! علاوه بر غیرفعال کردن selinux، تروجان خود را نیز اضافه می کند کلید SSH در ${sshdir}/authorized_keys! و فیلدهای زیر را در /etc/ssh/sshd_config فعال میکند، اگر قبلاً روی YES تنظیم نشده باشند:
PermitRootLogin بله
احراز هویت RSAA بله
Pubkey احراز هویت بله
echo UsePAM بله
رمز عبور بله
UPD 4: به طور خلاصه فعلاً: Exim را غیرفعال کنید، cron (با ریشه)، فوراً کلید Trojan را از ssh بردارید و پیکربندی sshd را ویرایش کنید، sshd را مجدداً راه اندازی کنید! و هنوز مشخص نیست که این کمک کند، اما بدون آن مشکلی وجود دارد.
اطلاعات مهم را از نظرات مربوط به وصلهها/بهروزرسانیها به ابتدای یادداشت منتقل کردم تا خوانندگان با آن شروع کنند.
UPD5:
UPD6:
هرکسی که راه حل پایداری درست می کند (یا پیدا می کند)، لطفا بنویسد، به خیلی ها کمک خواهید کرد.
UPD7:
اگر قبلاً نگفته اید که ویروس به لطف یک نامه ارسال نشده در Exim دوباره احیا شده است، وقتی می خواهید نامه را دوباره ارسال کنید، بازیابی می شود، به /var/spool/exim4 نگاه کنید.
می توانید کل صف Exim را به این صورت پاک کنید:
expick -i | xargs exim -Mrm
بررسی تعداد ورودی ها در صف:
exim -bpc
UPD 8: دوباره
UPD 9: به نظر می رسد کار می کند، با تشکر
نکته اصلی این است که فراموش نکنید که سرور قبلاً در معرض خطر قرار گرفته بود و مهاجمان می توانستند چیزهای ناخوشایند غیر معمول دیگری (که در قطره چکان ذکر نشده اند) بکارند.
بنابراین، بهتر است به یک سرور کاملاً نصب شده (vds) بروید یا حداقل به نظارت بر موضوع ادامه دهید - اگر چیز جدیدی وجود دارد، در نظرات اینجا بنویسید، زیرا بدیهی است که همه به یک نصب جدید منتقل نمی شوند ...
UPD 10: باز هم متشکرم
UPD 11: از
(پس از استفاده از روشی برای مبارزه با این بدافزار)
شما قطعاً نیاز به راه اندازی مجدد دارید - بدافزار در جایی در فرآیندهای باز و بر این اساس در حافظه قرار می گیرد و هر 30 ثانیه یک مورد جدید برای کرون کردن خود می نویسد.
UPD12:
UPD13:
UPD 14: به خودمان اطمینان دهیم که افراد باهوش از ریشه فرار نمی کنند - یک چیز دیگر
حتی اگر از روت کار نکند، هک اتفاق میافتد... من Debian jessie UPD دارم: روی OrangePi خود کشیده شده، Exim از Debian-exim اجرا میشود و همچنان هک اتفاق میافتد، تاجهای گم شده و غیره.
UPD 15: هنگام انتقال به یک سرور تمیز از یک سرور در معرض خطر، بهداشت را فراموش نکنید،
هنگام انتقال داده ها، نه تنها به فایل های اجرایی یا پیکربندی، بلکه به هر چیزی که ممکن است حاوی دستورات مخرب باشد نیز توجه کنید (به عنوان مثال، در MySQL این می تواند CREATE TRIGGER یا CREATE EVENT باشد). همچنین، فایلهای html، .js، .php، .py و سایر فایلهای عمومی را فراموش نکنید (در حالت ایدهآل، این فایلها، مانند سایر دادهها، باید از فضای ذخیرهسازی محلی یا دیگر مورد اعتماد بازیابی شوند).
UPD16:
پس همه بعد از آپدیت باید مطمئن شوید که از نسخه جدید استفاده می کنید!
exim --version
ما با هم وضعیت خاص آنها را مرتب کردیم.
سرور از DirectAdmin و بسته قدیمی da_exim (نسخه قدیمی، بدون آسیبپذیری) استفاده میکرد.
در همان زمان، با کمک مدیر بسته سفارشی ساخت DirectAdmin، در واقع نسخه جدیدتر Exim نصب شد که قبلا آسیب پذیر بود.
در این شرایط خاص، به روز رسانی از طریق ساخت سفارشی نیز کمک کرد.
فراموش نکنید که قبل از چنین آزمایشهایی پشتیبانگیری کنید، و همچنین مطمئن شوید که قبل/بعد از بهروزرسانی، تمام فرآیندهای Exim از نسخه قدیمی هستند.
منبع: www.habr.com