Co-obraichean a bhios a’ cleachdadh dreachan Exim 4.87...4.91 air na frithealaichean puist aca - ùrachadh gu h-èiginneach gu dreach 4.92, às deidh dhaibh stad a chuir air Exim fhèin roimhe gus hackadh tro CVE-2019-10149 a sheachnadh.
Tha grunn mhilleanan de luchd-frithealaidh air feadh an t-saoghail a dh’ fhaodadh a bhith so-leònte, tha an so-leòntachd air a mheas deatamach (sgòr bunaiteach CVSS 3.0 = 9.8/10). Faodaidh luchd-ionnsaigh òrdughan neo-riaghailteach a ruith air an fhrithealaiche agad, ann an iomadh cùis bho fhreumh.
Feuch an dèan thu cinnteach gu bheil thu a’ cleachdadh dreach stèidhichte (4.92) no fear a chaidh a ghleusadh mu thràth.
No cuir am fear a th’ ann mar-thà, faic an t-snàthainn .
Ùrachadh airson centos 6: cm. - airson centos 7 bidh e ag obair cuideachd, mura h-eil e air ruighinn gu dìreach bho epel fhathast.
UPD: Tha buaidh aig Ubuntu 18.04 agus 18.10, chaidh ùrachadh fhoillseachadh dhaibh. Chan eil buaidh air dreachan 16.04 agus 19.04 mura deach roghainnean gnàthaichte a chuir a-steach orra. Tuilleadh mion-fhiosrachaidh .
A-nis thathas a’ gabhail brath gu gnìomhach air an duilgheadas a chaidh a mhìneachadh an sin (le bot, a rèir coltais), mhothaich mi galar air cuid de luchd-frithealaidh (a’ ruith air 4.91).
Tha tuilleadh leughaidh buntainneach a-mhàin dhaibhsan a tha air “fhaighinn” mar-thà - feumaidh tu an dàrna cuid a h-uile càil a ghiùlan gu VPS glan le bathar-bog ùr, no coimhead airson fuasgladh. Am feuch sinn? Sgrìobh an urrainn do dhuine sam bith faighinn thairis air an malware seo.
Mura h-eil thu, a bhith nad neach-cleachdaidh Exim agus a’ leughadh seo, fhathast air ùrachadh (chan eil thu air dèanamh cinnteach gu bheil 4.92 no dreach paiste ri fhaighinn), stad agus ruith gus ùrachadh.
Dhaibhsan a tha air faighinn ann mu thràth, leanaidh sinn oirnn...
ÙRACHADH: agus bheir e comhairle cheart :
Faodaidh measgachadh mòr de malware a bhith ann. Le bhith a 'cur air bhog an stuth-leigheis airson an rud ceàrr agus a' glanadh a 'chiudha, cha tèid an neach-cleachdaidh a leigheas agus' s dòcha nach eil fios aige dè a dh'fheumas e a làimhseachadh.
Tha an galar follaiseach mar seo: [kthrotlds] loads the processor; air VDS lag tha e 100%, air frithealaichean tha e nas laige ach follaiseach.
Às deidh galar, bidh an malware a’ toirt air falbh inntrigidhean cron, ga chlàradh fhèin an sin a-mhàin gus ruith a h-uile 4 mionaidean, fhad ‘s a nì e am faidhle crontab do-ruigsinneach. Crontab -e chan urrainn dhut atharrachaidhean a shàbhaladh, bheir e mearachd.
Faodar immutable a thoirt air falbh, mar eisimpleir, mar seo, agus an uairsin cuir às don loidhne-àithne (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
An uairsin, anns an deasaiche crontab (vim), sguab às an loidhne agus sàbhail:dd
:wq
Ach, tha cuid de na pròiseasan gnìomhach ag ath-sgrìobhadh a-rithist, tha mi ga thuigsinn.
Aig an aon àm, tha dòrlach de wgets gnìomhach (no curls) crochte air na seòlaidhean bhon sgriobt stàlaichear (faic gu h-ìosal), tha mi gan leagail mar seo airson a-nis, ach tòisichidh iad a-rithist:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Lorg mi an sgriobt stàlaichear Trojan an seo (centos): /usr/local/bin/nptd... chan eil mi ga phostadh gus a sheachnadh, ach ma tha duine air an galar agus a’ tuigsinn sgriobtaichean shligean, feuch an dèan thu sgrùdadh nas mionaidiche air.
Cuiridh mi ris mar a bhios fiosrachadh air ùrachadh.
UPD 1: A’ sguabadh às fhaidhlichean (le chattr -i tòiseachaidh) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root cha do chuidich e, agus cha do stad mi an t-seirbheis - bha agam ri crontab gu tur airson a-nis ga reubadh a-mach (ath-ainmich am faidhle biona).
UPD 2: Bha an stàlaichear Trojan uaireannan cuideachd na laighe ann an àiteachan eile, chuidich rannsachadh a rèir meud:
lorg/-size 19825c
UPD 3/XNUMX/XNUMX: Thoir aire! A bharrachd air a bhith a’ cuir à comas selinux, bidh an Trojan cuideachd a’ cur a chuid fhèin ris Iuchrach SSH ann an ${sshdir}/authorized_keys! Agus cuir an gnìomh na raointean a leanas ann an /etc/ssh/sshd_config, mura h-eil iad air an suidheachadh gu THA:
PermitRootLogin tha
Dearbhadh RSAA tha
PubkeyAuthentication tha
mac-talla UsePAM tha
Dearbhadh facal-faire tha
UPD 4: Gus geàrr-chunntas a dhèanamh airson an-dràsta: cuir à comas Exim, cron (le freumhaichean), thoir air falbh an iuchair Trojan bho ssh gu h-èiginneach agus deasaich an sshd config, ath-thòisich sshd! Agus chan eil e soilleir fhathast an cuidich seo, ach às aonais tha duilgheadas ann.
Ghluais mi fiosrachadh cudromach bho na beachdan mu phìosan / ùrachaidhean gu toiseach an nota, gus an tòisich luchd-leughaidh leis.
UPD 5/XNUMX/XNUMX: gun do dh'atharraich an malware faclan-faire air WordPress.
UPD 6/XNUMX/XNUMX: , dèanamaid deuchainn! Às deidh ath-thòiseachadh no dùnadh, tha coltas gu bheil an stuth-leigheis a ’dol à sealladh, ach airson a-nis co-dhiù sin e.
Duine sam bith a nì (no a lorgas) fuasgladh seasmhach, sgrìobh, cuidichidh tu mòran.
UPD 7/XNUMX/XNUMX: a ’sgrìobhadh:
Mura h-eil thu air a ràdh mar-thà gu bheil am bhìoras air aiseirigh le taing do litir nach deach a chuir ann an Exim, nuair a dh’ fheuchas tu ris an litir a chuir a-rithist, tha i air ath-nuadhachadh, seall a-steach /var/spool/exim4
Faodaidh tu an ciudha Exim gu lèir a ghlanadh mar seo:
exipick -i | xargs exim -Mrm
A’ sgrùdadh àireamh nan inntrigidhean sa chiudha:
exim -bpc
UPD 8: A-rithist : Thairg FirstVDS an dreach aca den sgriobt làimhseachaidh, feuch an dèan sinn deuchainn air!
UPD 9: Tha e coltach работает, Tapadh leat airson an sgriobt!
Is e am prìomh rud gun a bhith a’ dìochuimhneachadh gu robh an t-seirbheisiche ann an cunnart mu thràth agus gum faodadh an luchd-ionnsaigh a bhith air a bhith comasach air cuid de rudan nas annasaiche a chuir (nach eil air an liostadh san dropper).
Mar sin, tha e nas fheàrr gluasad gu frithealaiche air a chuir a-steach gu tur (vds), no co-dhiù cumail sùil air a’ chuspair - ma tha dad ùr ann, sgrìobh na beachdan an seo, oir gu follaiseach cha ghluais a h-uile duine gu stàladh ùr...
UPD 10: Tapadh leibh a-rithist : tha e a 'cur an cuimhne nach e a-mhàin gu bheil luchd-frithealaidh air an galar, ach cuideachd Pi-sùbh-craoibh, agus a h-uile seòrsa inneal brìgheil ... Mar sin às deidh dhut na frithealaichean a shàbhaladh, na dìochuimhnich na consolaidhean bhidio agad, innealan-fuadain, msaa a shàbhaladh.
UPD 11: Bho Nòta cudromach airson luchd-slànachaidh làimhe:
(às deidh dhut aon dòigh no dòigh eile a chleachdadh airson cuir an-aghaidh an malware seo)
Feumaidh tu gu cinnteach ath-thòiseachadh - bidh an malware na shuidhe am badeigin ann am pròiseasan fosgailte agus, mar sin, mar chuimhneachan, agus a’ sgrìobhadh fear ùr dha fhèin airson cron a h-uile 30 diog
UPD 12/XNUMX/XNUMX: Tha malware eile (?) aig Exim na chiudha agus tha e a’ toirt comhairle dhut an duilgheadas sònraichte agad a sgrùdadh an-toiseach mus tòisich thu air làimhseachadh.
UPD 13/XNUMX/XNUMX: an àite sin, gluais gu siostam glan, agus gluais faidhlichean gu faiceallach, oir Tha an malware mar-thà ri fhaighinn gu poblach agus faodar a chleachdadh ann an dòighean eile nach eil cho follaiseach agus nas cunnartach.
UPD 14: a’ toirt misneachd dhuinn fhìn nach bi daoine sgairteil a’ ruith bho fhreumh - aon rud eile :
Fiù mura h-eil e ag obair bho fhreumh, bidh hacking a’ tachairt ... Tha debian jessie UPD agam: sìneadh air an OrangePi agam, tha Exim a’ ruith bho Debian-exim agus tha e fhathast a’ slaodadh air tachairt, crùin air chall, msaa.
UPD 15: nuair a ghluaiseas tu gu frithealaiche glan bho fhear ann an cunnart, na dìochuimhnich mu shlàinteachas, :
Nuair a bhios tu a’ gluasad dàta, thoir aire chan ann a-mhàin do fhaidhlichean so-ghnìomhaichte no rèiteachaidh, ach cuideachd do rud sam bith a dh’ fhaodadh a bhith ann an òrdughan droch-rùnach (mar eisimpleir, ann am MySQL dh’ fhaodadh seo a bhith CREATE TRIGGER no CREATE TACHARTAS). Cuideachd, na dì-chuimhnich mu .html, .js, .php, .py agus faidhlichean poblach eile (bu chòir na faidhlichean sin, mar dàta eile, a bhith air an toirt air ais bho stòradh ionadail no eile a tha earbsach).
UPD 16/XNUMX/XNUMX: и : bha aon dreach de Exim air a chuir a-steach anns na puirt, ach ann an da-rìribh bha e a’ ruith fear eile.
Mar sin a h-uile duine às deidh an ùrachadh bu chòir dhut dèanamh cinnteach gu bheil thu a’ cleachdadh an dreach ùr!
exim --versionChuir sinn air dòigh an suidheachadh sònraichte aca còmhla.
Chleachd am frithealaiche DirectAdmin agus an seann phasgan da_exim aige (seann dreach, gun so-leòntachd).
Aig an aon àm, le cuideachadh bho mhanaidsear pacaid togail àbhaisteach DirectAdmin, gu dearbh, chaidh dreach nas ùire de Exim a chuir a-steach an uairsin, a bha so-leònte mu thràth.
Anns an t-suidheachadh shònraichte seo, chuidich ùrachadh tro custombuild cuideachd.
Na dìochuimhnich cùl-taic a dhèanamh ro na deuchainnean sin, agus cuideachd dèan cinnteach gu bheil a h-uile pròiseas Exim den t-seann dreach ro / às deidh an ùrachadh agus gun a bhith “sgaraichte” nad chuimhne.
Source: www.habr.com