ProHoster > وبلاگ > اداره > فوری Exim را به 4.92 به روز کنید - یک عفونت فعال وجود دارد

فوری Exim را به 4.92 به روز کنید - یک عفونت فعال وجود دارد

همکارانی که از نسخه‌های Exim 4.87...4.91 در سرورهای ایمیل خود استفاده می‌کنند - فوراً به نسخه 4.92 به‌روزرسانی می‌شوند، زیرا قبلاً خود Exim را متوقف کرده‌اند تا از هک شدن از طریق CVE-2019-10149 جلوگیری کنند.

چندین میلیون سرور در سراسر جهان به طور بالقوه آسیب پذیر هستند، این آسیب پذیری به عنوان بحرانی رتبه بندی شده است (امتیاز پایه CVSS 3.0 = 9.8/10). مهاجمان می توانند دستورات دلخواه را در سرور شما اجرا کنند، در بسیاری از موارد از ریشه.

لطفاً مطمئن شوید که از نسخه ثابت (4.92) یا نسخه ای که قبلاً وصله شده است استفاده می کنید.
یا موجود را وصله کنید، به موضوع مراجعه کنید نظر بی نقص.

به روز رسانی برای 6: سانتی متر. نظر تئودور - برای centos 7 نیز کار می کند، اگر هنوز مستقیماً از epel وارد نشده باشد.

UPD: اوبونتو تحت تأثیر قرار گرفته است 18.04 و 18.10، به روز رسانی برای آنها منتشر شده است. نسخه های 16.04 و 19.04 تحت تأثیر قرار نمی گیرند مگر اینکه گزینه های سفارشی روی آنها نصب شده باشد. جزئیات بیشتر در وب سایت رسمی آنها.

اطلاعات در مورد مشکل در Opennet
اطلاعات در وب سایت Exim

اکنون مشکلی که در آنجا توضیح داده شده است به طور فعال مورد سوء استفاده قرار می گیرد (احتمالاً توسط یک ربات)، من متوجه عفونت در برخی از سرورها (در حال اجرا در 4.91) شدم.

خواندن بیشتر فقط برای کسانی مرتبط است که قبلاً "آن را دریافت کرده اند" - باید همه چیز را با نرم افزار تازه به یک VPS تمیز منتقل کنید یا به دنبال راه حل باشید. سعی کنیم؟ بنویسید آیا کسی می تواند بر این بدافزار غلبه کند.

اگر شما که کاربر Exim هستید و این مطلب را می خوانید، هنوز آپدیت نکرده اید (از موجود بودن نسخه 4.92 یا وصله شده مطمئن نشده اید)، لطفاً توقف کرده و برای به روز رسانی اجرا کنید.

برای کسانی که قبلاً به آنجا رسیده اند ، ادامه دهید ...

UPD: supersmile2009 نوع دیگری از بدافزار را پیدا کرد و توصیه درستی می کند:

بدافزارها می توانند تنوع زیادی داشته باشند. با راه اندازی دارو برای کار اشتباه و پاک کردن صف، کاربر درمان نمی شود و ممکن است نداند برای چه چیزی باید تحت درمان قرار گیرد.

عفونت به این صورت قابل توجه است: [kthrotlds] پردازنده را بارگذاری می کند. در VDS ضعیف 100٪ است، در سرورها ضعیف تر است اما قابل توجه است.

پس از آلوده شدن، بدافزار ورودی‌های cron را حذف می‌کند و فقط خودش را در آنجا ثبت می‌کند تا هر 4 دقیقه یک بار اجرا شود، در حالی که فایل crontab را غیرقابل تغییر می‌کند. Crontab -e نمی تواند تغییرات را ذخیره کند، خطا می دهد.

Immutable می تواند حذف شود، به عنوان مثال، به این صورت، و سپس خط فرمان (1.5 کیلوبایت) را حذف کنید:

chattr -i /var/spool/cron/root
crontab -e

سپس، در ویرایشگر crontab (vim)، خط را حذف کرده و ذخیره کنید:dd
:wq

با این حال، برخی از فرآیندهای فعال دوباره در حال بازنویسی هستند، من در حال کشف آن هستم.

در همان زمان، دسته‌ای از wgets (یا curls) فعال روی آدرس‌های اسکریپت نصب‌کننده آویزان هستند (پایین را ببینید)، فعلاً آنها را به این شکل خراب می‌کنم، اما دوباره شروع می‌کنند:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

من اسکریپت نصب کننده تروجان را اینجا (centos) پیدا کردم: /usr/local/bin/nptd... من آن را برای جلوگیری از آن پست نمی کنم، اما اگر کسی آلوده است و اسکریپت های پوسته را می فهمد، لطفاً آن را با دقت بیشتری مطالعه کنید.

با به روز شدن اطلاعات اضافه خواهم کرد.

UPD 1: حذف فایل ها (با chattr -i مقدماتی) /etc/cron.d/root، /etc/crontab، rm -Rf /var/spool/cron/root کمکی نکرد، و همچنین توقف سرویس کمکی نکرد - مجبور شدم crontab فعلاً آن را کاملاً پاره کنید (نام فایل bin را تغییر دهید).

UPD 2: نصب کننده تروجان گاهی اوقات در جاهای دیگر هم دراز می کشید، جستجو بر اساس اندازه کمک کرد:
find / -size 19825c

UPD3: اخطار! علاوه بر غیرفعال کردن selinux، تروجان خود را نیز اضافه می کند کلید SSH در ${sshdir}/authorized_keys! و فیلدهای زیر را در /etc/ssh/sshd_config فعال می‌کند، اگر قبلاً روی YES تنظیم نشده باشند:
PermitRootLogin بله
احراز هویت RSAA بله
Pubkey احراز هویت بله
echo UsePAM بله
رمز عبور بله

UPD 4: به طور خلاصه فعلاً: Exim را غیرفعال کنید، cron (با ریشه)، فوراً کلید Trojan را از ssh بردارید و پیکربندی sshd را ویرایش کنید، sshd را مجدداً راه اندازی کنید! و هنوز مشخص نیست که این کمک کند، اما بدون آن مشکلی وجود دارد.

اطلاعات مهم را از نظرات مربوط به وصله‌ها/به‌روزرسانی‌ها به ابتدای یادداشت منتقل کردم تا خوانندگان با آن شروع کنند.

UPD5: AnotherDenny می نویسد که بدافزار رمز عبور را در وردپرس تغییر داده است.

UPD6: پلمن یک درمان موقت آماده کرد، بیایید تست کنیم! پس از راه اندازی مجدد یا خاموش شدن، به نظر می رسد دارو ناپدید می شود، اما در حال حاضر حداقل همین است.

هرکسی که راه حل پایداری درست می کند (یا پیدا می کند)، لطفا بنویسد، به خیلی ها کمک خواهید کرد.

UPD7: کاربر clsv می نویسد:

اگر قبلاً نگفته اید که ویروس به لطف یک نامه ارسال نشده در Exim دوباره احیا شده است، وقتی می خواهید نامه را دوباره ارسال کنید، بازیابی می شود، به /var/spool/exim4 نگاه کنید.

می توانید کل صف Exim را به این صورت پاک کنید:
expick -i | xargs exim -Mrm
بررسی تعداد ورودی ها در صف:
exim -bpc

UPD 8: دوباره با تشکر برای اطلاعات AnotherDenny: FirstVDS نسخه خود را از اسکریپت درمان ارائه کرد، بیایید آن را آزمایش کنیم!

UPD 9: به نظر می رسد کار می کند، با تشکر کریل برای فیلمنامه!

نکته اصلی این است که فراموش نکنید که سرور قبلاً در معرض خطر قرار گرفته بود و مهاجمان می توانستند چیزهای ناخوشایند غیر معمول دیگری (که در قطره چکان ذکر نشده اند) بکارند.

بنابراین، بهتر است به یک سرور کاملاً نصب شده (vds) بروید یا حداقل به نظارت بر موضوع ادامه دهید - اگر چیز جدیدی وجود دارد، در نظرات اینجا بنویسید، زیرا بدیهی است که همه به یک نصب جدید منتقل نمی شوند ...

UPD 10: باز هم متشکرم clsv: یادآوری می کند که نه تنها سرورها آلوده هستند، بلکه همچنین تمشک پیو انواع ماشین های مجازی... پس پس از ذخیره سرورها فراموش نکنید که کنسول های ویدئویی، ربات ها و غیره خود را ذخیره کنید.

UPD 11: از نویسنده فیلمنامه شفا نکته مهم برای درمانگرهای دستی:
(پس از استفاده از روشی برای مبارزه با این بدافزار)

شما قطعاً نیاز به راه اندازی مجدد دارید - بدافزار در جایی در فرآیندهای باز و بر این اساس در حافظه قرار می گیرد و هر 30 ثانیه یک مورد جدید برای کرون کردن خود می نویسد.

UPD12: supersmile2009 پیدا شد Exim یک بدافزار دیگر (؟) در صف خود دارد و به شما توصیه می کند که ابتدا مشکل خاص خود را قبل از شروع درمان مطالعه کنید.

UPD13: لورک توصیه می کند بلکه به یک سیستم تمیز بروید و فایل ها را با دقت بسیار زیاد انتقال دهید، زیرا این بدافزار در حال حاضر به صورت عمومی در دسترس است و می تواند به روش های دیگر، کمتر واضح و خطرناک تر استفاده شود.

UPD 14: به خودمان اطمینان دهیم که افراد باهوش از ریشه فرار نمی کنند - یک چیز دیگر پیام فوری از clsv:

حتی اگر از روت کار نکند، هک اتفاق می‌افتد... من Debian jessie UPD دارم: روی OrangePi خود کشیده شده، Exim از Debian-exim اجرا می‌شود و همچنان هک اتفاق می‌افتد، تاج‌های گم شده و غیره.

UPD 15: هنگام انتقال به یک سرور تمیز از یک سرور در معرض خطر، بهداشت را فراموش نکنید، یادآوری مفید از w0den:

هنگام انتقال داده ها، نه تنها به فایل های اجرایی یا پیکربندی، بلکه به هر چیزی که ممکن است حاوی دستورات مخرب باشد نیز توجه کنید (به عنوان مثال، در MySQL این می تواند CREATE TRIGGER یا CREATE EVENT باشد). همچنین، فایل‌های html، .js، .php، .py و سایر فایل‌های عمومی را فراموش نکنید (در حالت ایده‌آل، این فایل‌ها، مانند سایر داده‌ها، باید از فضای ذخیره‌سازی محلی یا دیگر مورد اعتماد بازیابی شوند).

UPD16: daykkin и savage_me با مشکل دیگری مواجه شد: سیستم یک نسخه از Exim را در پورت ها نصب کرده بود، اما در واقع نسخه دیگری را اجرا می کرد.

پس همه بعد از آپدیت باید مطمئن شوید که از نسخه جدید استفاده می کنید!

exim --version

ما با هم وضعیت خاص آنها را مرتب کردیم.

سرور از DirectAdmin و بسته قدیمی da_exim (نسخه قدیمی، بدون آسیب‌پذیری) استفاده می‌کرد.

در همان زمان، با کمک مدیر بسته سفارشی ساخت DirectAdmin، در واقع نسخه جدیدتر Exim نصب شد که قبلا آسیب پذیر بود.

در این شرایط خاص، به روز رسانی از طریق ساخت سفارشی نیز کمک کرد.

فراموش نکنید که قبل از چنین آزمایش‌هایی پشتیبان‌گیری کنید، و همچنین مطمئن شوید که قبل/بعد از به‌روزرسانی، تمام فرآیندهای Exim از نسخه قدیمی هستند. متوقف شدند و در حافظه "گیر" نمی کند.

منبع: www.habr.com

اضافه کردن نظر