Kolege koji koriste Exim verzije 4.87...4.91 na svojim mail serverima - hitno ažurirajte na verziju 4.92, prethodno zaustavivši sam Exim kako bi izbjegli hakiranje putem CVE-2019-10149.
Nekoliko milijuna poslužitelja diljem svijeta potencijalno je ranjivo, ranjivost je ocijenjena kao kritična (CVSS 3.0 osnovni rezultat = 9.8/10). Napadači mogu pokretati proizvoljne naredbe na vašem poslužitelju, u mnogim slučajevima iz roota.
Provjerite koristite li fiksnu verziju (4.92) ili onu koja je već zakrpana.
Ili zakrpite postojeći, pogledajte temu .
Ažuriranje za centi 6: cm. — za centos 7 također radi, ako još nije stigao direktno s epela.
UPD: Ubuntu je pogođen 18.04 i 18.10, za njih je objavljeno ažuriranje. Verzije 16.04 i 19.04 nisu zahvaćene osim ako na njima nisu instalirane prilagođene opcije. Više detalja .
Sada se tamo opisani problem aktivno iskorištava (vjerojatno bot), primijetio sam infekciju na nekim poslužiteljima (rade na 4.91).
Daljnje čitanje relevantno je samo za one koji su već "shvatili" - trebate ili sve prenijeti na čisti VPS sa svježim softverom ili potražiti rješenje. Hoćemo li probati? Napišite može li netko prevladati ovaj malware.
Ako vi, budući da ste korisnik Exima i čitate ovo, još uvijek niste izvršili ažuriranje (niste se uvjerili da je dostupna verzija 4.92 ili zakrpana verzija), molimo vas da prestanete i pokrenete ažuriranje.
Za one koji su već stigli, nastavimo...
UPS: i daje pravi savjet:
Može postojati velika raznolikost zlonamjernog softvera. Puštanjem lijeka za krivu stvar i brisanjem reda čekanja korisnik se neće izliječiti i možda neće znati od čega se treba liječiti.
Infekcija je vidljiva ovako: [kthrotlds] opterećuje procesor; na slabom VDS-u je 100%, na serverima je slabiji ali primjetan.
Nakon zaraze, zlonamjerni softver briše cron unose, registrirajući se tamo samo za pokretanje svake 4 minute, dok datoteku crontab čini nepromjenjivom. Crontab -e ne može spremiti promjene, javlja se pogreška.
Immutable se može ukloniti, na primjer, ovako, a zatim obrisati naredbeni redak (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Zatim, u uređivaču crontab (vim), izbrišite redak i spremite:dd
:wq
Međutim, neki od aktivnih procesa ponovno se prepisuju, shvaćam to.
U isto vrijeme, na adresama iz instalacijske skripte (vidi dolje) visi hrpa aktivnih wgetova (ili kovrča), za sada ih obaram ovako, ali počinju iznova:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Skriptu za instaliranje Trojana pronašao sam ovdje (centos): /usr/local/bin/nptd... Ne objavljujem je da bih je izbjegao, ali ako je netko zaražen i razumije shell skripte, neka je pažljivije prouči.
Dodat ću kako se informacije ažuriraju.
UPD 1: Brisanje datoteka (s preliminarnim chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root nije pomoglo, niti zaustavljanje usluge - morao sam crontab potpuno za sada istrgni (preimenuj bin datoteku).
UPD 2: Trojanski instalacijski program ponekad je ležao i na drugim mjestima, pretraživanje po veličini je pomoglo:
nađi / -veličina 19825c
UPD 3. XNUMX. XNUMX.: Upozorenje! Osim što onemogućuje selinux, trojanac dodaje i svoje SSH ključ u ${sshdir}/authorized_keys! I aktivira sljedeća polja u /etc/ssh/sshd_config, ako već nisu postavljena na DA:
PermitRootLogin da
RSAAutentifikacija da
PubkeyAuthentication da
echo UsePAM da
PasswordAuthentication da
UPD 4: Da rezimiramo trenutno: onemogućite Exim, cron (s rootovima), hitno uklonite trojanski ključ iz ssh-a i uredite sshd konfiguraciju, ponovno pokrenite sshd! I još nije jasno hoće li to pomoći, ali bez toga postoji problem.
Premjestio sam važne informacije iz komentara o zakrpama/ažuriranju na početak bilješke, tako da čitatelji počnu s njima.
UPD 5. XNUMX. XNUMX.: da je malware promijenio lozinke u WordPressu.
UPD 6. XNUMX. XNUMX.: , idemo testirati! Nakon ponovnog pokretanja ili gašenja, čini se da lijek nestaje, ali za sada je barem to.
Svatko tko napravi (ili pronađe) stabilno rješenje neka piše, pomoći ćete mnogima.
UPD 7. XNUMX. XNUMX.: piše:
Ako već niste rekli da je virus uskrsnuo zahvaljujući neposlanom pismu u Eximu, kada pokušate ponovo poslati pismo, ono se vraća, pogledajte u /var/spool/exim4
Možete očistiti cijeli Exim red čekanja ovako:
exipick -i | xargs exim -Mrm
Provjera broja unosa u redu:
exim -bpc
UPD 8: Opet : FirstVDS je ponudio svoju verziju skripte za liječenje, testirajmo je!
UPD 9: Izgleda djela, Hvala za scenarij!
Glavna stvar je ne zaboraviti da je poslužitelj već bio kompromitiran i da su napadači mogli podmetnuti još neke netipične gadne stvari (koje nisu navedene u dropperu).
Stoga je bolje prijeći na kompletno instalirani server (vds), ili barem nastaviti pratiti temu - ako ima nešto novo, napišite ovdje u komentarima, jer očito neće svi prijeći na novu instalaciju...
UPD 10: Hvala još jednom : podsjeća da nisu zaraženi samo poslužitelji, već i Raspberry Pi, i sve vrste virtualnih strojeva... Dakle, nakon spremanja servera, ne zaboravite spremiti svoje video konzole, robote itd.
UPD 11: Od Važna napomena za ručne iscjelitelje:
(nakon korištenja jedne ili druge metode borbe protiv ovog zlonamjernog softvera)
Svakako se trebate ponovno pokrenuti - zlonamjerni softver sjedi negdje u otvorenim procesima i, prema tome, u memoriji, i svakih 30 sekundi piše novi za cron
UPD 12. XNUMX. XNUMX.: Exim ima još jedan (?) zlonamjerni softver u svom redu čekanja i savjetuje vam da prvo proučite svoj specifični problem prije početka liječenja.
UPD 13. XNUMX. XNUMX.: radije prijeđite na čisti sustav i iznimno pažljivo prenosite datoteke jer Malware je već javno dostupan i može se koristiti na druge, manje očite i opasnije načine.
UPD 14: uvjeravamo se da pametni ljudi ne bježe od korijena - još jedna stvar :
Čak i ako ne radi s root-om, dolazi do hakiranja... Imam debian jessie UPD: stretch na svom OrangePi-ju, Exim radi iz Debian-exima i još uvijek se hakiranje dogodilo, izgubljene krunice itd.
UPD 15: kada prelazite na čisti poslužitelj s kompromitiranog, ne zaboravite na higijenu, :
Prilikom prijenosa podataka obratite pažnju ne samo na izvršne ili konfiguracijske datoteke, već i na sve što može sadržavati zlonamjerne naredbe (na primjer, u MySQL-u to može biti CREATE TRIGGER ili CREATE EVENT). Također, ne zaboravite na .html, .js, .php, .py i druge javne datoteke (idealno bi te datoteke, kao i druge podatke, trebale biti vraćene iz lokalne ili druge pouzdane pohrane).
UPD 16. XNUMX. XNUMX.: и : sustav je imao jednu verziju Exima instaliranu u portovima, ali u stvarnosti je izvodio drugu.
Dakle svi nakon ažuriranja trebali biste se uvjeriti da koristite novu verziju!
exim --versionZajedno smo riješili njihovu specifičnu situaciju.
Poslužitelj je koristio DirectAdmin i njegov stari paket da_exim (stara verzija, bez ranjivosti).
U isto vrijeme, koristeći DirectAdminov custombuild upravitelj paketa, zapravo je instalirana novija verzija Exima, koja je već bila ranjiva.
U ovoj konkretnoj situaciji pomoglo je i ažuriranje putem custombuilda.
Ne zaboravite napraviti sigurnosne kopije prije takvih eksperimenata, a također provjerite da su prije/poslije ažuriranja svi Exim procesi stare verzije a ne "zaglaviti" u sjećanju.
Izvor: www.habr.com