Kollega's dy't Exim-ferzjes 4.87...4.91 brûke op har e-postservers - driuwend bywurkje nei ferzje 4.92, nei't se earder Exim sels stoppe hawwe om hacking troch CVE-2019-10149 te foarkommen.
Ferskate miljoen servers om 'e wrâld binne potinsjeel kwetsber, de kwetsberens wurdt beoardiele as kritysk (CVSS 3.0 basisscore = 9.8/10). Oanfallers kinne willekeurige kommando's op jo tsjinner útfiere, yn in protte gefallen fan root.
Soargje derfoar dat jo in fêste ferzje (4.92) brûke of ien dy't al patched is.
Of patch de besteande, sjoch thread .
Update foar sint 6:cm. - foar centos 7 wurket it ek, as it noch net direkt fan epel kaam is.
UPD: Ubuntu wurdt beynfloede 18.04 and 18.10, in update is útbrocht foar harren. Ferzjes 16.04 en 19.04 wurde net beynfloede, útsein as oanpaste opsjes op har ynstalleare. Mear details .
No wurdt it dêr beskreaune probleem aktyf eksploitearre (troch in bot, nei alle gedachten), Ik fernaam in ynfeksje op guon tsjinners (rinnend op 4.91).
Fierdere lêzing is allinich relevant foar dyjingen dy't it al "krigen" - jo moatte alles ferfiere nei in skjinne VPS mei frisse software, of sykje nei in oplossing. Sille wy besykje? Skriuw as immen dizze malware kin oerwinne.
As jo, as in Exim-brûker en dit lêze, noch altyd net bywurke hawwe (hawwe net wis dat 4.92 as in patched ferzje beskikber is), stopje asjebleaft en rinne om te aktualisearjen.
Foar dyjingen dy't der al binne, litte wy trochgean ...
UPD: en jout it goede advys:
D'r kin in grut ferskaat oan malware wêze. Troch it medisyn foar it ferkearde ding te lansearjen en de wachtrige op te heljen, sil de brûker net genêzen wurde en miskien net witte wêr't hy foar behannele wurde moat.
De ynfeksje is sa merkber: [kthrotlds] laadt de prosessor; op in swak VDS is it 100%, op tsjinners is it swakker, mar merkber.
Nei ynfeksje wisket de malware cron-yngongen, en registrearret dêr allinich himsels om elke 4 minuten te rinnen, wylst it crontab-bestân ûnferoarlik makket. Crontab -e kin net bewarje feroarings, jout in flater.
Immutable kin wurde fuortsmiten, bygelyks, sa, en wiskje dan de kommandorigel (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Folgjende, yn 'e crontab-bewurker (vim), wiskje de rigel en bewarje:dd
:wq
Guon fan 'e aktive prosessen oerskriuwe lykwols wer, ik fyn it út.
Tagelyk hingje d'r in boskje aktive wgets (as krullen) op 'e adressen fan it ynstallearderskript (sjoch hjirûnder), ik slach se foar no sa del, mar se begjinne wer:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ik fûn it Trojaanske ynstallearderskript hjir (centos): /usr/local/bin/nptd... Ik pleats it net om it te foarkommen, mar as immen ynfektearre is en shell-skripts begrypt, studearje it dan asjebleaft sekuerder.
Ik sil tafoegje as ynformaasje wurdt bywurke.
UPD 1: Triemen wiskje (mei foarriedige chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root holp net, en it stopjen fan de tsjinst ek net - ik moast crontab folslein foar no skuorre it út (omneame de bin triem).
UPD 2: De Trojaanske ynstallearder lei soms ek op oare plakken, sykjen op grutte holp:
fine / -grutte 19825c
UPD 3/XNUMX/XNUMX: Wês opsichtich! Neist it útskeakeljen fan selinux foeget de Trojan ek syn eigen ta SSH kaai yn ${sshdir}/authorized_keys! En aktivearret de folgjende fjilden yn /etc/ssh/sshd_config, as se net al ynsteld binne op YES:
PermitRootLogin ja
RSAAautentikaasje ja
PubkeyAuthentication ja
echo UsePAM ja
Wachtwurdautentikaasje ja
UPD 4: Foar no gearfetsje: útskeakelje Exim, cron (mei woartels), ferwiderje de Trojan-kaai driuwend fan ssh en bewurkje de sshd-konfiguraasje, sshd opnij starte! En it is noch net dúdlik dat dit sil helpe, mar sûnder it is der in probleem.
Ik ferpleatst wichtige ynformaasje fan 'e opmerkings oer patches/updates nei it begjin fan' e notysje, sadat de lêzers dermei begjinne.
UPD 5/XNUMX/XNUMX: dat de malware wachtwurden yn WordPress feroare.
UPD 6/XNUMX/XNUMX: , lit ús testje! Nei in herstart of ôfsluting liket it medisyn te ferdwinen, mar foar no is dat teminsten it.
Elkenien dy't in stabile oplossing makket (of fynt), skriuw asjebleaft, jo sille in protte helpe.
UPD 7/XNUMX/XNUMX: skriuwt:
As jo net al sein hawwe dat it firus opwekke is troch in net ferstjoerde brief yn Exim, as jo besykje de brief opnij te stjoeren, wurdt it werombrocht, sjoch yn /var/spool/exim4
Jo kinne de heule Exim-wachtrige wiskje sa:
exipick -i | xargs exim -Mrm
Kontrolearje it oantal yngongen yn 'e wachtrige:
eksim -bpc
UPD 8: Nochris : FirstVDS bea har ferzje fan it behannelingskript oan, lit ús it testen!
UPD 9: It liket derop wurket, tank foar it skript!
It wichtichste is net te ferjitten dat de tsjinner al kompromittearre wie en de oanfallers koenen hawwe slagge om wat mear atypyske ferfelende dingen te plantsjen (net yn 'e dropper neamd).
Dêrom is it better om te ferpleatsen nei in folslein ynstallearre server (vds), of op syn minst trochgean mei it kontrolearjen fan it ûnderwerp - as d'r wat nijs is, skriuw dan yn 'e kommentaren hjir, om't fansels sil net elkenien nei in nije ynstallaasje ferhúzje ...
UPD 10: Nochris tank : it herinnert dat net allinnich tsjinners binne ynfektearre, mar ek Raspberry Pi, en alle soarten firtuele masines ... Dus nei it bewarjen fan de servers, ferjit net om jo fideokonsoles, robots, ensfh.
UPD 11: Fan Wichtige opmerking foar manuele healers:
(nei it brûken fan ien of oare metoade foar it bestriden fan dizze malware)
Jo moatte perfoarst opnij opstarte - de malware sit earne yn iepen prosessen en, sadwaande, yn it ûnthâld, en skriuwt himsels in nije om elke 30 sekonden te kroanjen
UPD 12/XNUMX/XNUMX: Exim hat in oare(?) malware yn 'e wachtrige en advisearret jo om jo spesifike probleem earst te studearjen foardat jo behanneling begjinne.
UPD 13/XNUMX/XNUMX: leaver, ferhúzje nei in skjin systeem, en oerdrage triemmen ekstreem foarsichtich, omdat De malware is al iepenbier beskikber en kin brûkt wurde op oare, minder foar de hân lizzende en gefaarliker manieren.
UPD 14: ússels fersekerje dat tûke minsken net fan 'e root rinne - noch ien ding :
Sels as it net wurket fan root, komt hacking foar ... Ik haw debian jessie UPD: stretch op myn OrangePi, Exim rint fan Debian-exim en noch is hacking bard, ferlerne kroanen, ensfh.
UPD 15: as jo ferhúzje nei in skjinne server fan in kompromittearre, ferjit dan net oer hygiëne, :
By it oerdragen fan gegevens, betelje omtinken net allinich foar útfierbere of konfiguraasjebestannen, mar ek op alles dat kweade kommando's kin befetsje (bygelyks yn MySQL kin dit CREATE TRIGGER of CREATE EVENT wêze). Ferjit ek .html, .js, .php, .py en oare iepenbiere bestannen net (ideaal moatte dizze bestannen, lykas oare gegevens, weromset wurde fan lokale of oare fertroude opslach).
UPD 16/XNUMX/XNUMX: и : it systeem hie ien ferzje fan Exim ynstalleare yn 'e havens, mar yn werklikheid draaide it in oare.
Dus elkenien nei de fernijing moatte jo der wis fan wêze dat jo de nije ferzje brûke!
exim --versionWy sortearre út harren spesifike situaasje tegearre.
De tsjinner brûkte DirectAdmin en syn âlde da_exim-pakket (âlde ferzje, sûnder kwetsberens).
Tagelyk, mei help fan DirectAdmin's oanpaste pakketbehearder, waard yn feite in nijere ferzje fan Exim ynstalleare, dy't al kwetsber wie.
Yn dizze bepaalde situaasje holp bywurkjen fia custombuild ek.
Ferjit net backups te meitsjen foar sokke eksperiminten, en soargje der ek foar dat foar/nei de fernijing alle Exim-prosessen fan 'e âlde ferzje binne en net "fêst" yn it ûnthâld.
Boarne: www.habr.com