ʻO nā hoa hana e hoʻohana nei i nā mana Exim 4.87...4.91 ma kā lākou mau leka uila - e hoʻohou koke i ka mana 4.92, ua kāpae mua iā Exim ponoʻī e pale aku i ka hacking ma CVE-2019-10149.
He mau miliona mau kikowaena a puni ka honua i hiki ke pilikia, ua helu ʻia ka nāwaliwali he koʻikoʻi (CVSS 3.0 base score = 9.8/10). Hiki i nā mea hoʻouka ke holo i nā kauoha kuʻuna ma kāu kikowaena, i nā manawa he nui mai ke kumu.
E ʻoluʻolu e ʻoluʻolu e hoʻohana ana ʻoe i kahi mana paʻa (4.92) a i ʻole kahi i hoʻopaʻa ʻia.
A i ʻole e hoʻopili i ka mea i loaʻa, e ʻike i ke kaula .
Hōʻano hou no keneta 6: knm. - no nā keneta 7 e hana pū ana, inā ʻaʻole i hiki pololei mai ka epel.
UPD: Pili ʻia ʻo Ubuntu 18.04 a 18.10, ua hoʻokuʻu ʻia kahi mea hou no lākou. ʻAʻole pili nā mana 16.04 a me 19.04 ke ʻole i kau ʻia nā koho maʻamau ma luna o lākou. Nā kikoʻī hou aku .
I kēia manawa ke hoʻohana ikaika ʻia nei ka pilikia i wehewehe ʻia ma laila (e ka bot, manaʻo paha), ʻike wau i kahi maʻi ma kekahi mau kikowaena (e holo ana ma 4.91).
ʻO ka heluhelu hou aʻe e pili ana i ka poʻe i "loaʻa" - pono ʻoe e lawe i nā mea āpau i kahi VPS maʻemaʻe me nā polokalamu hou, a i ʻole e ʻimi i kahi hopena. E ho'āʻo kākou? Kākau inā hiki i kekahi ke lanakila i kēia polokalamu kiloʻino.
Inā ʻoe, he mea hoʻohana Exim a heluhelu ʻoe i kēia, ʻaʻole ʻoe i hōʻano hou (ʻaʻole i hōʻoia i ka loaʻa ʻana o 4.92 a i ʻole kahi mana patched), e ʻoluʻolu e kāpae a holo e hoʻohou.
No ka poʻe i hiki mua i laila, e hoʻomau kākou...
UPD: a hāʻawi i ka ʻōlelo aʻo kūpono:
Hiki ke loaʻa i kahi ʻano nui o ka malware. Ma ka hoʻokuʻu ʻana i ka lāʻau lapaʻau no ka mea hewa a me ka hoʻomaʻemaʻe ʻana i ka pila, ʻaʻole e hoʻōla ʻia ka mea hoʻohana a ʻike ʻole paha i ka mea e pono ai ke mālama ʻia.
ʻIke ʻia ka maʻi e like me kēia: hoʻouka ʻo [kthrotlds] i ke kaʻina hana; ma ka VDS nāwaliwali he 100%, ma nā kikowaena he nāwaliwali akā ʻike ʻia.
Ma hope o ka maʻi, hoʻopau ka malware i nā cron entries, e hoʻopaʻa inoa iā ia iho ma laila e holo i kēlā me kēia 4 mau minuke, ʻoiai e hoʻololi ʻole i ka faila crontab. Crontab -e ʻAʻole hiki ke mālama i nā loli, hāʻawi i kahi hewa.
Hiki ke wehe ʻia ka Immutable, no ka laʻana, e like me kēia, a laila holoi i ka laina kauoha (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
A laila, ma ka crontab editor (vim), holoi i ka laina a mālama:dd
:wq
Eia naʻe, ke kākau hou nei kekahi o nā kaʻina hana, ke noʻonoʻo nei au.
I ka manawa like, aia kekahi pūʻulu o nā wgets ikaika (a i ʻole curls) e kau ana ma nā helu mai ka script installer (e ʻike i lalo), ke kīkē nei au iā lākou e like me kēia i kēia manawa, akā hoʻomaka hou lākou:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ua loaʻa iaʻu ka hōʻailona Trojan installer ma aneʻi (centos): /usr/local/bin/nptd... ʻAʻole au e hoʻolaha ana ia mea e pale aku ai, akā inā ua maʻi kekahi a maopopo i nā palapala shell, e ʻoluʻolu e aʻo pono iā ia.
E hoʻohui au i ka hoʻonui ʻia ʻana o ka ʻike.
UPD 1: Holoi i nā faila (me ka chattr -i mua) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ʻaʻole i kōkua, ʻaʻole hoʻi i hoʻōki i ka lawelawe - pono wau e crontab no kēia manawa e uhae iā ia (hōʻano hou i ka faila bin).
UPD 2: E moe ana ka mea hoʻonoho Trojan i kekahi manawa ma nā wahi ʻē aʻe, ua kōkua ka ʻimi ʻana ma ka nui:
huli / -nui 19825c
UPD 3/XNUMX/XNUMX: E hoʻomaikaʻi mai! Ma kahi o ka hoʻopau ʻana i ka selinux, hoʻohui pū ka Trojan i kāna ponoʻī kī SSH ma ${sshdir}/authorized_keys! A ho'ā i kēia mau kahua ma /etc/ssh/sshd_config, inā ʻaʻole i hoʻonohonoho ʻia iā YES:
PermitRootLogin ʻae
RSAAuthentication ʻae
PubkeyAuthentication ʻae
e hoʻohana i ka PAM ʻae
PasswordAuthentication ʻae
UPD 4: No ka hōʻuluʻulu ʻana i kēia manawa: hoʻopau iā Exim, cron (me nā aʻa), wehe koke i ke kī Trojan mai ssh a hoʻoponopono i ka sshd config, hoʻomaka hou i ka sshd! A ʻaʻole maopopo i kēia manawa e kōkua kēia, akā me ka ʻole o ka pilikia.
Ua hoʻoneʻe au i ka ʻike koʻikoʻi mai nā manaʻo e pili ana i nā patches/updates i ka hoʻomaka ʻana o ka memo, i hoʻomaka ai ka poʻe heluhelu me ia.
UPD 5/XNUMX/XNUMX: ua hoʻololi ka malware i nā ʻōlelo huna ma WordPress.
UPD 6/XNUMX/XNUMX: , e hoao kakou! Ma hope o ka hoʻomaka hou ʻana a i ʻole ka pani ʻana, ua nalowale ka lāʻau lapaʻau, akā i kēia manawa ʻo ia ka liʻiliʻi.
ʻO ka mea e hana (a ʻike paha) i kahi hopena paʻa, e ʻoluʻolu e kākau, e kōkua ʻoe i nā mea he nui.
UPD 7/XNUMX/XNUMX: kākau:
Inā ʻaʻole ʻoe i ʻōlelo mua ua ala hou ka maʻi ma muli o kahi leka i hoʻouna ʻole ʻia ma Exim, ke hoʻāʻo ʻoe e hoʻouna hou i ka leka, ua hoʻihoʻi ʻia, e nānā i loko /var/spool/exim4
Hiki iā ʻoe ke holoi i ka pila Exim holoʻokoʻa e like me kēia:
exipick -i | xargs exim -Mrm
Ke nānā nei i ka helu o nā mea komo i ka pila:
exim -bpc
UPD 8: Hou : Hāʻawi ʻo FirstVDS i kā lākou mana o ka palapala lapaʻau, e hoʻāʻo kākou!
UPD 9: Me he mea lā nā hana, Mahalo no ka palapala!
ʻO ka mea nui ʻaʻole e poina ua hoʻohālikelike ʻia ke kikowaena a ua hiki i nā mea hoʻouka ke hoʻokō i nā mea ʻino atypical (ʻaʻole i helu ʻia ma ka dropper).
No laila, ʻoi aku ka maikaʻi o ka neʻe ʻana i kahi kikowaena i hoʻonohonoho pono ʻia (vds), a i ʻole e hoʻomau i ka nānā ʻana i ke kumuhana - inā he mea hou, e kākau i nā manaʻo ma aneʻi, no ka mea maopopo ʻaʻole e neʻe ka poʻe a pau i kahi hoʻonohonoho hou...
UPD 10: Mahalo hou : hoʻomanaʻo ia ʻaʻole wale nā kikowaena i maʻi, akā pū kekahi ʻOiwi Pi, a me nā ʻano mīkini virtual a pau ... No laila ma hope o ka mālama ʻana i nā kikowaena, mai poina e mālama i kāu ʻoliʻoli wikiō, robots, etc.
UPD 11: Mai 'Ōlelo nui no nā mea ho'ōla lima:
(ma hope o ka hoʻohana ʻana i kekahi ala ʻē aʻe o ka hakakā ʻana i kēia polokalamu malware)
Pono ʻoe e hoʻomaka hou - noho ka malware ma kahi o nā kaʻina ākea a, no laila, i ka hoʻomanaʻo, a kākau iā ia iho i kahi mea hou e cron i kēlā me kēia 30 kekona
UPD 12/XNUMX/XNUMX: Loaʻa iā Exim kekahi polokalamu ʻē aʻe (?) i loko o kāna pila a aʻo iā ʻoe e aʻo mua i kāu pilikia kikoʻī ma mua o ka hoʻomaka ʻana i ka mālama ʻana.
UPD 13/XNUMX/XNUMX: akā, e neʻe i kahi ʻōnaehana maʻemaʻe, a hoʻololi i nā faila me ke akahele loa, no ka mea Loaʻa i ka lehulehu ka polokalamu malware a hiki ke hoʻohana ʻia i nā ala ʻē aʻe, ʻaʻole maopopo a ʻoi aku ka pōʻino.
UPD 14: hōʻoiaʻiʻo iā mākou iho ʻaʻole holo ka poʻe akamai mai ke kumu - hoʻokahi mea hou :
ʻOiai ʻaʻole ia e hana mai ke aʻa, hiki mai ka hacking ... Loaʻa iaʻu debian jessie UPD: e kau ma luna o kaʻu OrangePi, e holo ana ʻo Exim mai Debian-exim a ua hana ʻia ka hacking, nalowale nā lei aliʻi, etc.
UPD 15: i ka neʻe ʻana i kahi kikowaena maʻemaʻe mai kahi i hoʻopaʻa ʻia, mai poina e pili ana i ka maʻemaʻe, :
I ka hoʻoili ʻana i ka ʻikepili, e hoʻolohe ʻaʻole wale i nā faila hoʻokō a hoʻonohonoho paha, akā i kekahi mea i loaʻa i nā kauoha ʻino (no ka laʻana, ma MySQL hiki ke CREATE TRIGGER a i ʻole CREATE EVENT). Eia kekahi, mai poina e pili ana i .html, .js, .php, .py a me nā faila lehulehu ʻē aʻe (pono e hoʻihoʻi ʻia kēia mau faila, e like me nā ʻikepili ʻē aʻe, mai kahi waihona hilinaʻi kūloko a i ʻole kekahi).
UPD 16/XNUMX/XNUMX: и : ua hoʻokomo ʻia ka ʻōnaehana i hoʻokahi mana o Exim i nā awa, akā i ka ʻoiaʻiʻo e holo ana ia i kahi ʻē aʻe.
No laila nā mea a pau ma hope o ka hōʻano hou e hōʻoia ʻoe ke hoʻohana nei ʻoe i ka mana hou!
exim --versionUa hoʻokaʻawale mākou i ko lākou kūlana kūikawā.
Ua hoʻohana ke kikowaena iā DirectAdmin a me kāna pūʻolo da_exim kahiko (ka mana kahiko, me ka ʻole o ka nāwaliwali).
Ma ka manawa like, me ke kōkua o DirectAdmin's custombuild package manager, ʻoiaʻiʻo, ua hoʻokomo ʻia kahi mana hou o Exim, a ua nāwaliwali.
Ma kēia kūlana kūikawā, ua kōkua pū ka hoʻonui ʻana ma o custombuild.
Mai poina e hana i nā waihona ma mua o ia mau hoʻokolohua, a e hōʻoia hoʻi ma mua / ma hope o ka hoʻonui ʻana i nā kaʻina hana Exim a pau o ka mana kahiko. a ʻaʻole "paʻa" i ka hoʻomanaʻo.
Source: www.habr.com