Comhghleacaithe a úsáideann leaganacha Exim 4.87...4.91 ar a gcuid freastalaithe ríomhphoist - nuashonraigh go práinneach go leagan 4.92, tar éis dóibh Exim féin a stopadh roimhe seo chun hackáil trí CVE-2019-10149 a sheachaint.
Tá roinnt milliún freastalaithe ar fud an domhain a d’fhéadfadh a bheith leochaileach, meastar go bhfuil an leochaileacht ríthábhachtach (bunscór CVSS 3.0 = 9.8/10). Is féidir le hionsaitheoirí orduithe treallach a rith ar do fhreastalaí, ó fhréamh go leor cásanna.
Cinntigh le do thoil go bhfuil tú ag baint úsáide as leagan seasta (4.92) nó leagan atá paisteáilte cheana féin.
Nó paiste an ceann atá ann cheana féin, féach snáithe
Nuashonrú le haghaidh cent 6: cm.
UPD: Tá tionchar ag Ubuntu 18.04 agus 18.10, tá nuashonrú eisithe dóibh. Ní dhéanfar difear do leaganacha 16.04 agus 19.04 mura suiteáladh roghanna saincheaptha orthu. Tuilleadh sonraí
Anois go bhfuil an fhadhb a thuairiscítear ann á saothrú go gníomhach (ag bot, is dócha), thug mé faoi deara ionfhabhtú ar roinnt freastalaithe (ag rith ar 4.91).
Níl a thuilleadh léitheoireachta ábhartha ach amháin dóibh siúd a bhfuil “faighte” acu cheana féin - ní mór duit gach rud a iompar chuig VPS glan le bogearraí úra, nó réiteach a lorg. An ndéanfaimid iarracht? Scríobh an féidir le duine ar bith an malware seo a shárú.
Mura bhfuil uasdátú déanta fós agat, agus tú i d’úsáideoir Exim agus é seo á léamh agat (nár dhein tú cinnte go bhfuil 4.92 nó leagan paiste ar fáil), stop le do thoil agus rith chun é a nuashonrú.
Dóibh siúd atá ann cheana féin, leanaimis ar aghaidh...
Suas chun dáta:
Is féidir éagsúlacht mhór malware a bheith ann. Tríd an leigheas a sheoladh don rud mícheart agus an scuaine a ghlanadh, ní leigheasfar an t-úsáideoir agus b'fhéidir nach mbeadh a fhios aige cad is gá dó a chóireáil.
Tá an ionfhabhtú faoi deara mar seo: lódálann [kthrotlds] an próiseálaí; ar VDS lag tá sé 100%, ar fhreastalaithe tá sé níos laige ach faoi deara.
Tar éis an ionfhabhtaithe, scriosann an malware iontrálacha cron, agus ní chláraíonn sé ach é féin ann le rith gach 4 nóiméad, agus an comhad crontab do-aistrithe. Crontab -e ní féidir leis na hathruithe a shábháil, tugann sé earráid.
Is féidir immutable a bhaint, mar shampla, mar seo, agus ansin scrios an líne ordaithe (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Ansin, san eagarthóir crontab (vim), scrios an líne agus sábháil:dd
:wq
Mar sin féin, tá cuid de na próisis ghníomhacha á scríobh arís, táim á bhfíorú.
Ag an am céanna, tá dornán de wgets gníomhacha (nó gcuacha) crochta ar na seoltaí ón script suiteálaí (féach thíos), táim á leagan síos mar seo faoi láthair, ach tosaíonn siad arís:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Fuair mé an script suiteálaí Trojan anseo (centos): /usr/local/bin/nptd... Nílim á phostáil chun é a sheachaint, ach má tá aon duine ionfhabhtaithe agus go dtuigeann sé scripteanna sliogáin, déan staidéar níos cúramach air.
Cuirfidh mé leis de réir mar a nuashonraítear faisnéis.
UPD 1: Níor chabhraigh comhaid a scriosadh (le réamhchatr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root, agus níor stopadh an tseirbhís - bhí orm crontab go hiomlán stróic amach é (athainmnigh an comhad araid).
UPD 2: Uaireanta bhí an suiteálaí Trojan ina luí in áiteanna eile freisin, chabhraigh cuardach de réir méide:
find/-size 19825c
UPD 3/XNUMX/XNUMX: Rabhadh! Chomh maith le selinux a dhíchumasú, cuireann an Trojan a chuid féin leis freisin Eochair SSH in ${sshdir}/authorized_keys! Agus gníomhaíonn sé na réimsí seo a leanas i /etc/ssh/sshd_config, mura bhfuil siad socraithe cheana féin go TÁ:
PermitRootLogin sea
Fíordheimhniú RSAA tá
Foilseachán Pubkey sea
macalla UsePAM yes
PasswordFíordheimhnithe tá
UPD 4: Chun achoimre a dhéanamh faoi láthair: díchumasaigh Exim, cron (le fréamhacha), bain an eochair Trojan ó ssh go práinneach agus cuir an config sshd in eagar, atosú sshd! Agus níl sé soiléir fós an gcabhróidh sé seo, ach gan é tá fadhb ann.
Bhog mé eolas tábhachtach ó na tuairimí faoi phaistí / nuashonruithe go dtí tús an nóta, ionas go dtosaíonn léitheoirí leis.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Duine ar bith a dhéanann (nó a fhaigheann) réiteach cobhsaí, scríobh le do thoil, cabhróidh tú go leor.
UPD 7/XNUMX/XNUMX:
Mura bhfuil sé ráite agat cheana féin go bhfuil an víreas aiséirí mar gheall ar litir nár seoladh in Exim, nuair a dhéanann tú iarracht an litir a sheoladh arís, déantar í a athchóiriú, féach in /var/spool/exim4
Is féidir leat an scuaine Exim ar fad a ghlanadh mar seo:
exipick -i | xargs exim -Mrm
Ag seiceáil líon na n-iontrálacha sa scuaine:
exim -bpc
UPD 8: Arís
UPD 9: Tá cuma air oibreacha, go raibh maith agat
Is é an rud is mó ná dearmad a dhéanamh go raibh an freastalaí i gcontúirt cheana féin agus go bhféadfadh na hionsaitheoirí roinnt rudaí olc níos aitíopúla a phlandáil (nach bhfuil liostaithe sa dropper).
Dá bhrí sin, tá sé níos fearr chun bogadh chuig freastalaí go hiomlán suiteáilte (vds), nó ar a laghad leanúint ar aghaidh le monatóireacht a dhéanamh ar an ábhar - má tá aon rud nua, scríobh sna tuairimí anseo, mar gheall ar ar ndóigh ní bhogfaidh gach duine go suiteáil úr...
UPD 10: Go raibh maith agat arís
UPD 11: Ó
(tar éis modh amháin nó modh eile a úsáid chun an malware seo a chomhrac)
Is cinnte go gcaithfidh tú a atosú - suíonn an malware áit éigin i bpróisis oscailte agus, dá réir sin, i gcuimhne, agus scríobhann sé ceann nua chun cron a dhéanamh gach 30 soicind
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: sinn féin a athdhearbhú nach ritheann daoine cliste ón bhfréamh - rud amháin eile
Fiú mura n-oibríonn sé ón bhfréamh, tarlaíonn hackáil... Tá debian agam jessie UPD: stráice ar mo OrangePi, tá Exim ag rith ó Debian-exim agus fós tharla hackáil, coróin caillte, etc.
UPD 15: agus tú ag bogadh go freastalaí glan ó fhreastalaí comhréiteach, ná déan dearmad faoi shláinteachas,
Agus sonraí á n-aistriú, tabhair aird ní hamháin ar chomhaid inrite nó cumraíochta, ach freisin ar aon rud a bhféadfadh orduithe mailíseach a bheith ann (mar shampla, i MySQL d'fhéadfadh sé seo a bheith ina CREATE TRIGGER nó CREATE Event). Chomh maith leis sin, ná déan dearmad faoi .html, .js, .php, .py agus comhaid phoiblí eile (go hidéalach ba cheart na comhaid seo, cosúil le sonraí eile, a chur ar ais ó stóráil áitiúil nó stórála iontaofa eile).
UPD 16/XNUMX/XNUMX:
Mar sin, gach duine tar éis an nuashonrú ba chóir duit a chinntiú go bhfuil an leagan nua á úsáid agat!
exim --version
Rinneamar a gcás sonrach a réiteach le chéile.
D’úsáid an freastalaí DirectAdmin agus a sheanphacáiste da_exim (seanleagan, gan leochaileacht).
Ag an am céanna, le cabhair ó bhainisteoir pacáiste custombuild DirectAdmin, go deimhin, suiteáladh leagan níos nuaí de Exim ansin, a bhí leochaileach cheana féin.
Sa chás áirithe seo, chabhraigh nuashonrú trí custombuild freisin.
Ná déan dearmad cúltacaí a dhéanamh roimh thurgnaimh dá leithéid, agus cinntigh freisin go bhfuil gach próiseas Exim den seanleagan roimh/i ndiaidh an nuashonraithe
Foinse: will.com