Rekan-rekan yang menggunakan Exim versi 4.87...4.91 di server email mereka - segera perbarui ke versi 4.92, setelah menghentikan Exim sendiri terlebih dahulu untuk menghindari peretasan melalui CVE-2019-10149.
Beberapa juta server di seluruh dunia berpotensi rentan, kerentanan ini dinilai kritis (skor dasar CVSS 3.0 = 9.8/10). Penyerang dapat menjalankan perintah sewenang-wenang di server Anda, dalam banyak kasus dari root.
Harap pastikan bahwa Anda menggunakan versi tetap (4.92) atau yang sudah ditambal.
Atau tambal yang sudah ada, lihat thread .
Pembaruan untuk CentOS 6: cm. β untuk centos 7 juga bisa, kalau belum datang langsung dari epel.
UPD: Ubuntu terpengaruh 18.04 dan 18.10, pembaruan telah dirilis untuk mereka. Versi 16.04 dan 19.04 tidak terpengaruh kecuali opsi khusus diinstal pada versi tersebut. Keterangan lebih lanjut .
Sekarang masalah yang dijelaskan di sana sedang dieksploitasi secara aktif (mungkin oleh bot), saya melihat adanya infeksi di beberapa server (berjalan pada 4.91).
Bacaan lebih lanjut hanya relevan bagi mereka yang telah βmendapatkannyaβ - Anda perlu memindahkan semuanya ke VPS yang bersih dengan perangkat lunak baru, atau mencari solusi. Bisakah kita mencobanya? Tulis jika ada yang bisa mengatasi malware ini.
Jika Anda, sebagai pengguna Exim dan membaca ini, masih belum memperbarui (belum memastikan bahwa versi 4.92 atau versi yang ditambal tersedia), silakan berhenti dan jalankan untuk memperbarui.
Bagi yang sudah sampai disana, yuk lanjutkan...
UPD: dan memberikan saran yang tepat:
Ada berbagai macam malware. Dengan meluncurkan obat untuk hal yang salah dan membersihkan antrian, pengguna tidak akan sembuh dan mungkin tidak tahu harus berobat untuk apa.
Infeksinya terlihat seperti ini: [kthrotlds] memuat prosesor; pada VDS yang lemah 100%, pada server lebih lemah tetapi terlihat.
Setelah infeksi, malware menghapus entri cron, mendaftarkan dirinya sendiri di sana untuk dijalankan setiap 4 menit, sekaligus membuat file crontab tidak dapat diubah. Crontab -e tidak dapat menyimpan perubahan, memberikan kesalahan.
Immutable bisa dihilangkan, misalnya seperti ini, lalu hapus baris perintah (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Selanjutnya, di editor crontab (vim), hapus baris dan simpan:dd
:wq
Namun, beberapa proses aktif ditimpa lagi, saya sedang mencari tahu.
Pada saat yang sama, ada banyak wget (atau ikal) aktif yang tergantung di alamat skrip penginstal (lihat di bawah), saya akan merobohkannya seperti ini untuk saat ini, tetapi mulai lagi:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Saya menemukan skrip penginstal Trojan di sini (centos): /usr/local/bin/nptd... Saya tidak mempostingnya untuk menghindarinya, tetapi jika ada yang terinfeksi dan memahami skrip shell, harap mempelajarinya lebih cermat.
Saya akan menambahkan ketika informasi diperbarui.
UPD 1: Menghapus file (dengan chattr awal -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root tidak membantu, juga tidak menghentikan layanan - saya harus melakukannya crontab sepenuhnya untuk saat ini sobek (ganti nama file bin).
UPD 2: Penginstal Trojan terkadang juga tergeletak di tempat lain, pencarian berdasarkan ukuran membantu:
temukan / -ukuran 19825c
UPD3: Peringatan! Selain menonaktifkan selinux, Trojan juga menambahkan miliknya sendiri kunci SSH di ${sshdir}/authorized_keys! Dan aktifkan kolom berikut di /etc/ssh/sshd_config, jika belum disetel ke YES:
PermitRootLogin ya
Otentikasi RSA ya
PubkeyAuthentication ya
gema GunakanPAM ya
Otentikasi Kata Sandi ya
UPD 4: Ringkasnya untuk saat ini: nonaktifkan Exim, cron (dengan root), segera hapus kunci Trojan dari ssh dan edit konfigurasi sshd, mulai ulang sshd! Dan masih belum jelas apakah ini akan membantu, tapi tanpanya, akan ada masalah.
Saya memindahkan informasi penting dari komentar tentang patch/pembaruan ke awal catatan, sehingga pembaca dapat memulainya.
UPD5: bahwa malware mengubah kata sandi di WordPress.
UPD6: , ayo kita uji! Setelah reboot atau shutdown, obatnya sepertinya hilang, tapi untuk saat ini setidaknya itu saja.
Siapapun yang membuat (atau menemukan) solusi yang stabil, silakan menulis, Anda akan membantu banyak orang.
UPD7: menulis:
Jika Anda belum mengatakan bahwa virus dihidupkan kembali karena surat yang belum terkirim di Exim, ketika Anda mencoba mengirim surat itu lagi, itu dipulihkan, lihat di /var/spool/exim4
Anda dapat menghapus seluruh antrian Exim seperti ini:
exipick -i | xargs exim -Tuan
Memeriksa jumlah entri dalam antrian:
exim -bpc
UPD 8: Sekali lagi : FirstVDS menawarkan versi skrip perawatannya, mari kita uji!
UPD 9: Sepertinya bekerja, Terima kasih untuk naskahnya!
Hal utama adalah jangan lupa bahwa server telah disusupi dan penyerang bisa saja menanam beberapa hal buruk yang tidak lazim (tidak tercantum dalam dropper).
Oleh karena itu, lebih baik pindah ke server yang terinstal lengkap (vds), atau setidaknya terus memantau topik - jika ada yang baru, tulis di komentar di sini, karena jelas tidak semua orang akan pindah ke instalasi baru...
UPD 10: Sekali lagi terima kasih : ini mengingatkan bahwa tidak hanya server yang terinfeksi, tetapi juga raspberry Pi, dan segala macam mesin virtual... Jadi setelah menyimpan server, jangan lupa untuk menyimpan konsol video, robot, dll.
UPD 11 : Dari Catatan penting untuk penyembuh manual:
(setelah menggunakan satu atau beberapa metode untuk memerangi malware ini)
Anda pasti perlu melakukan boot ulang - malware berada di suatu tempat dalam proses terbuka dan, karenanya, di memori, dan menulis sendiri malware baru untuk di-cron setiap 30 detik
UPD12: Exim memiliki malware lain(?) dalam antreannya dan menyarankan Anda untuk mempelajari masalah spesifik Anda terlebih dahulu sebelum memulai perawatan.
UPD13: alih-alih, pindah ke sistem yang bersih, dan transfer file dengan sangat hati-hati, karena Malware ini sudah tersedia untuk umum dan dapat digunakan dengan cara lain yang kurang jelas dan lebih berbahaya.
UPD 14: meyakinkan diri sendiri bahwa orang pintar tidak lari dari akarnya - satu hal lagi :
Bahkan jika tidak berfungsi dari root, peretasan terjadi... Saya memiliki UPD debian jessie: peregangan di OrangePi saya, Exim dijalankan dari Debian-exim dan peretasan masih terjadi, mahkota hilang, dll.
UPD 15: saat berpindah ke server bersih dari server yang disusupi, jangan lupakan kebersihan, :
Saat mentransfer data, perhatikan tidak hanya file yang dapat dieksekusi atau file konfigurasi, tetapi juga apa pun yang mungkin berisi perintah berbahaya (misalnya, di MySQL ini bisa berupa CREATE TRIGGER atau CREATE EVENT). Selain itu, jangan lupa tentang .html, .js, .php, .py, dan file publik lainnya (idealnya file ini, seperti data lainnya, harus dipulihkan dari penyimpanan lokal atau penyimpanan tepercaya lainnya).
UPD16: ΠΈ : sistem memiliki satu versi Exim yang terinstal di port, namun kenyataannya ia menjalankan versi lain.
Jadi semuanya setelah pembaruan Anda harus memastikannya bahwa Anda menggunakan versi baru!
exim --versionKami menyelesaikan situasi spesifik mereka bersama-sama.
Server menggunakan DirectAdmin dan paket da_exim lama (versi lama, tanpa kerentanan).
Pada saat yang sama, dengan bantuan manajer paket custombuild DirectAdmin, versi Exim yang lebih baru kemudian diinstal, yang sudah rentan.
Dalam situasi khusus ini, memperbarui melalui custombuild juga membantu.
Jangan lupa untuk membuat backup sebelum percobaan tersebut, dan pastikan juga sebelum/sesudah update semua proses Exim adalah versi lama dan tidak βterjebakβ dalam ingatan.
Sumber: www.habr.com