ProHoster > Blog > Administrasyon an > Mete ajou ijan Exim a 4.92 - gen yon enfeksyon aktif

Mete ajou ijan Exim a 4.92 - gen yon enfeksyon aktif

Kòlèg ki itilize vèsyon Exim 4.87...4.91 sou sèvè lapòs yo - ijan mete ajou nan vèsyon 4.92, yo te deja sispann Exim tèt li pou evite pirate atravè CVE-2019-10149.

Plizyè milyon sèvè atravè mond lan potansyèlman vilnerab, vilnerabilite a konsidere kòm kritik (sòt baz CVSS 3.0 = 9.8/10). Atakè yo ka kouri kòmandman abitrè sou sèvè ou a, nan anpil ka soti nan rasin.

Tanpri asire w ke w ap itilize yon vèsyon fiks (4.92) oswa youn ki te deja patched.
Oswa patch youn ki deja egziste a, gade fil kòmantè parfèt.

Mizajou pou santos 6: cm. kòmantè pa Theodor - pou centos 7 li tou travay, si li pa te rive dirèkteman nan epel ankò.

UPD: Ubuntu afekte 18.04 ak 18.10, yo te pibliye yon aktyalizasyon pou yo. Vèsyon 16.04 ak 19.04 yo pa afekte sof si opsyon koutim yo te enstale sou yo. Plis detay sou sit entènèt ofisyèl yo.

Enfòmasyon sou pwoblèm nan sou Opennet
Enfòmasyon sou sitwèb Exim la

Koulye a, pwoblèm nan dekri gen ke yo te aktivman eksplwate (pa yon bot, prezimableman), mwen remake yon enfeksyon sou kèk serveurs (kouri sou 4.91).

Plis lekti enpòtan sèlman pou moun ki deja "te resevwa li" - ou bezwen swa transpòte tout bagay nan yon VPS pwòp ak lojisyèl fre, oswa chèche yon solisyon. Eske nou ta eseye? Ekri si yon moun ka simonte malveyan sa a.

Si ou menm, se yon itilizatè Exim epi w ap li sa a, ou poko mete ajou (pa asire w ke 4.92 oswa yon vèsyon patched disponib), tanpri sispann epi kouri pou mete ajou.

Pou moun ki deja rive la, ann kontinye...

UPS: supersmile2009 te jwenn yon lòt kalite malveyan epi li bay bon konsèy:

Kapab genyen yon gwo varyete malveyan. Pa lanse medikaman an pou move bagay ak netwaye keu a, itilizatè a pa pral geri epi li ka pa konnen ki sa li bezwen yo dwe trete.

Enfeksyon an parèt tankou sa a: [kthrotlds] chaje processeur a; sou yon VDS fèb li se 100%, sou serveurs li pi fèb men aparan.

Apre enfeksyon, malveyan an efase antre cron, anrejistre sèlman tèt li la pou kouri chak 4 minit, pandan y ap fè dosye a crontab imuiabl. Crontab -e pa ka sove chanjman, bay yon erè.

Ka imuiabl dwe retire, pou egzanp, tankou sa a, ak Lè sa a, efase liy lan lòd (1.5kb):

chattr -i /var/spool/cron/root
crontab -e

Apre sa, nan editè crontab (vim), efase liy lan epi sove:dd
:wq

Sepandan, kèk nan pwosesis aktif yo ranplase ankò, mwen ap kalkile li.

An menm tan an, gen yon pakèt wgets aktif (oswa boukl) ki pandye sou adrès yo nan script enstale a (gade anba a), mwen frape yo tankou sa a pou kounye a, men yo kòmanse ankò:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

Mwen jwenn script enstale Trojan isit la (centos): /usr/local/bin/nptd... Mwen pa afiche li pou evite li, men si yon moun enfekte epi li konprann scripts kokiy, tanpri etidye li plis ak anpil atansyon.

Mwen pral ajoute kòm enfòmasyon yo mete ajou.

UPD 1: Efase fichye (ak preliminè chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root pa t ede, ni sispann sèvis la - mwen te oblije crontab nèt pou kounye a dechire li (chanje non fichye bin la).

UPD 2: Enstalatè Trojan a te pafwa tou kouche nan lòt kote, rechèch pa gwosè te ede:
jwenn / -size 19825c

UPD 3/XNUMX/XNUMX: Attention! Anplis enfimite selinux, Trojan a tou ajoute pwòp li yo Kle SSH nan ${sshdir}/authorized_keys! Epi aktive jaden sa yo nan /etc/ssh/sshd_config, si yo pa deja mete sou WI:
PermitRootLogin wi
RSAAuthentication wi
PubkeyAuthentication wi
echo UsePAM wi
PasswordAuthentication wi

UPD 4: Pou rezime pou kounye a: enfim Exim, cron (ak rasin), ijan retire kle Trojan nan ssh epi modifye konfigirasyon sshd la, rekòmanse sshd! Epi li poko klè ke sa a pral ede, men san li gen yon pwoblèm.

Mwen te deplase enfòmasyon enpòtan nan kòmantè yo sou plak / mizajou nan kòmansman nòt la, pou lektè yo kòmanse ak li.

UPD 5/XNUMX/XNUMX: AnotherDenny ekri ke malveyan yo chanje modpas nan WordPress.

UPD 6/XNUMX/XNUMX: Paulmann te prepare yon gerizon tanporè, ann teste! Apre yon rdemare oswa fèmen, medikaman an sanble disparèt, men pou kounye a omwen sa a.

Nenpòt moun ki fè (oswa jwenn) yon solisyon ki estab, tanpri ekri, ou pral ede anpil.

UPD 7/XNUMX/XNUMX: Itilizatè clsv ekri:

Si ou poko di ke viris la resisite gras a yon lèt ki pa voye nan Exim, lè ou eseye voye lèt la ankò, li retabli, gade nan /var/spool/exim4

Ou ka netwaye tout keu Exim la konsa:
exipick -i | xargs exim -Mrm
Tcheke kantite antre nan keu a:
exim -bpc

UPD 8: Ankò mèsi pou enfòmasyon yo AnotherDenny: FirstVDS te ofri vèsyon yo nan script tretman an, ann teste li!

UPD 9: Li sanble travay, mèsi Kirill pou script la!

Bagay pwensipal lan se pa bliye ke sèvè a te deja konpwomèt ak atakè yo te kapab jere yo plante kèk bagay ki pi atipik anbarasan (pa ki nan lis nan gout la).

Se poutèt sa, li pi bon pou avanse pou pi nan yon sèvè konplètman enstale (vds), oswa omwen kontinye kontwole sijè a - si gen anyen nouvo, ekri nan kòmantè yo isit la, paske evidamman pa tout moun ap deplase nan yon enstalasyon fre ...

UPD 10: Mèsi ankò clsv: li raple ke se pa sèlman serveurs ki enfekte, men tou Franbwaz Pi, ak tout kalite machin vityèl... Se konsa, apre yo fin sove serveurs yo, pa bliye sove konsola videyo ou yo, robo, elatriye.

UPD 11: Soti nan otè script gerizon an Nòt enpòtan pou geriseuz manyèl:
(apre yo fin itilize youn oswa yon lòt metòd pou konbat malveyan sa a)

Ou definitivman bezwen rdemare - malveyan an chita yon kote nan pwosesis ouvè ak, kòmsadwa, nan memwa, epi li ekri tèt li yon nouvo nan cron chak 30 segonn.

UPD 12/XNUMX/XNUMX: supersmile2009 jwenn Exim gen yon lòt (?) malveyan nan keu li yo epi li konseye w premye etidye pwoblèm espesifik ou anvan ou kòmanse tretman.

UPD 13/XNUMX/XNUMX: lorc konseye pito, deplase nan yon sistèm pwòp, epi transfere dosye ak anpil atansyon, paske Malveyan an deja disponib piblikman epi yo ka itilize nan lòt fason, mwens evidan ak pi danjere.

UPD 14: asire tèt nou ke moun entelijan pa kouri soti nan rasin - yon lòt bagay mesaj ijan soti nan clsv:

Menm si li pa travay nan rasin, piratage rive... Mwen gen debian jessie UPD: detire sou OrangePi mwen an, Exim ap kouri soti nan Debian-exim epi li toujou pirataj ki te pase, pèdi kouwòn, elatriye.

UPD 15: lè w ap deplase nan yon sèvè pwòp soti nan yon sèl konpwomèt, pa bliye sou ijyèn, rapèl itil soti nan w0den:

Lè w ap transfere done, peye atansyon pa sèlman sou dosye ègzèkutabl oswa konfigirasyon, men tou sou nenpòt bagay ki ka gen kòmandman move (pa egzanp, nan MySQL sa a ta ka CREATE TRIGGER oswa CREATE EVENT). Epitou, pa bliye sou .html, .js, .php, .py ak lòt dosye piblik (depreferans dosye sa yo, tankou lòt done, yo ta dwe retabli nan depo lokal oswa lòt ou fè konfyans).

UPD 16/XNUMX/XNUMX: daykkin и savage_me te rankontre yon lòt pwoblèm: sistèm nan te gen yon vèsyon nan Exim enstale nan pò yo, men an reyalite li te kouri yon lòt.

Se konsa, tout moun apre aktyalizasyon a ou ta dwe asire w ke w ap itilize nouvo vèsyon an!

exim --version

Nou regle sitiyasyon espesifik yo ansanm.

Sèvè a te itilize DirectAdmin ak ansyen pake da_exim li yo (ansyen vèsyon, san vilnerabilite).

An menm tan an, avèk èd manadjè pake custombuild DirectAdmin a, an reyalite, yo te enstale yon nouvo vèsyon Exim, ki te deja vilnerab.

Nan sitiyasyon an patikilye sa a, mete ajou atravè custombuild te ede tou.

Pa bliye fè sovgad anvan eksperyans sa yo, epi tou asire w ke anvan / apre aktyalizasyon a tout pwosesis Exim yo nan ansyen vèsyon an. yo te sispann epi yo pa "kole" nan memwa.

Sous: www.habr.com

Add nouvo kòmantè