Ndị ọrụ ibe na-eji ụdị Exim 4.87…
Ọtụtụ nde sava gburugburu ụwa nwere ike ịdị mfe, a na-atụle adịghị ike dị ka ihe dị oke egwu (CVSS 3.0 base score = 9.8/10). Ndị na-awakpo nwere ike ịme iwu aka ike na sava gị, n'ọtụtụ oge site na mgbọrọgwụ.
Biko hụ na ị na-eji ụdị edoziri (4.92) ma ọ bụ nke emechielarị.
Ma ọ bụ kpachie nke dị, lee eri
Mmelite maka Ogbe 6: cm.
UPD: emetụta Ubuntu 18.04 na 18.10, ewepụtara ha mmelite. Ụdị 16.04 na 19.04 adịghị emetụta ọ gwụla ma etinyere nhọrọ omenala na ha. Nkọwa ndị ọzọ
Ugbu a a na-erigbu nsogbu ahụ akọwapụtara ebe ahụ (site na bot, ma eleghị anya), achọpụtara m ọrịa na ụfọdụ sava (na-agba ọsọ na 4.91).
Ọgụgụ ọzọ dị mkpa maka naanị ndị nwetagoro ya - ịkwesịrị ibuga ihe niile gaa na VPS dị ọcha na ngwanrọ ọhụrụ, ma ọ bụ chọọ azịza. Anyị ga-agbalị? Dee ma ọ bụrụ na onye ọ bụla nwere ike imeri malware a.
Ọ bụrụ na ị bụ onye ọrụ Exim ma na-agụ nke a, emelitebeghị (ịmebeghị n'aka na 4.92 ma ọ bụ ụdị patched dị), biko kwụsị ma gbaa ọsọ ka imelite.
Maka ndị nwetagoro ebe ahụ, ka anyị gaa n'ihu...
Gbasie:
Enwere ike ịnwe malware dị iche iche. Site na ịmalite ọgwụ maka ihe na-ezighi ezi na ikpochapụ kwụ n'ahịrị, onye ọrụ agaghị agwọta ya nwere ike ọ gaghị ama ihe ọ dị mkpa ka a gwọọ ya.
A na-ahụta ọrịa ahụ dị ka nke a: [kthrotlds] na-ebu ihe nhazi; na VDS na-adịghị ike ọ bụ 100%, na sava ọ na-esighi ike mana ọ na-ahụ anya.
Mgbe ọrịa gachara, malware na-ehichapụ ndenye cron, na-edebanye aha naanị ya ebe ahụ ka ọ na-agba ọsọ nkeji anọ ọ bụla, ebe ọ na-eme ka faịlụ crontab ghara ịgbanwe. Crontab -e enweghị ike ichekwa mgbanwe, na-enye njehie.
Enwere ike wepu enweghị mgbanwe, dịka ọmụmaatụ, dị ka nke a, wee hichapụ ahịrị iwu (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Ọzọ, na crontab editọ (vim), hichapụ ahịrị wee chekwaa:dd
:wq
Otú ọ dị, ụfọdụ n'ime usoro ndị na-arụ ọrụ na-edegharị ọzọ, m na-achọpụta ya.
N'otu oge ahụ, e nwere ụyọkọ wgets (ma ọ bụ curls) na-arụ ọrụ na-adabere na adreesị site na edemede installer (lee n'okpuru ebe a), m na-akụtu ha dị ka nke a ugbu a, mana ha na-amalite ọzọ:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Achọtara m akwụkwọ edemede Trojan installer ebe a (centos): /usr/local/bin/nptd... Anaghị m ezipụ ya ka m zere ya, mana ọ bụrụ na onye ọ bụla bu ọrịa ma ghọta ihe odide shei, biko mụọ ya nke ọma.
M ga-agbakwunye ka a na-emelite ozi.
UPD 1: ihichapụ faịlụ (ya na mbido chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root enyereghị m aka, ma ọ bụ kwụsị ọrụ ahụ - aghaghị m crontab kpamkpam ugbu a dọkapụ ya (kpọgharịa faịlụ bin faịlụ).
UPD 2: Trojan installer na-edina mgbe ụfọdụ n'ebe ndị ọzọ, na-achọ site size nyere aka:
chọta / -nha 19825c
UPD 3/XNUMX/XNUMX: Ịkpachara anya Na mgbakwunye na gbanyụọ selinux, Trojan na-agbakwụnyekwa nke ya igodo SSH na ${sshdir}/ahụrụ_key! Ma mee ka mpaghara ndị a rụọ ọrụ na /etc/ssh/sshd_config, ọ bụrụ na edobebeghị ha na EE:
PermitRootLogin ee
Nyocha RSAA ee
Nyochaa ndebiri ee
kwughachi UsePAM ee
Nyochaa paswọọdụ ee
UPD 4: Iji chịkọta ugbu a: gbanyụọ Exim, cron (nwere mgbọrọgwụ), wepụ ngwa ngwa Trojan igodo na ssh wee dezie sshd config, malitegharịa sshd! Ma o dobeghị anya na nke a ga-enyere aka, ma na-enweghị ya enwere nsogbu.
M kpaliri ozi dị mkpa site na nkwupụta banyere patches / updates na mmalite nke ndetu, nke mere na ndị na-agụ na-amalite na ya.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Onye ọ bụla na-eme (ma ọ bụ chọta) ngwọta kwụsiri ike, biko dee, ị ga-enyere ọtụtụ ndị aka.
UPD 7/XNUMX/XNUMX:
Ọ bụrụ na i kwubeghị na nje a na-akpọlite n'ọnwụ n'ihi akwụkwọ ozi a na-ezigaghị na Exim, mgbe ị na-agbalị izipu leta ahụ ọzọ, a na-eweghachi ya, lee na /var/spool/exim4.
Ị nwere ike ikpochapụ ahịrị Exim niile dị ka nke a:
expick -i | xargs exim -Mrm
Na-elele ọnụọgụgụ ndenye na kwụ n'ahịrị:
exim -bpc
UPD 8: Ọzọ
UPD 9: Ọ dị ka ọrụ, Daalụ
Isi ihe bụ ịghara ichefu na ihe nkesa abanyelarị na ndị na-awakpo ahụ nwere ike ịkụnye ụfọdụ ihe ọjọọ na-adịghị mma (anaghị edepụta ya na dropper).
Ya mere, ọ ka mma ịkwaga na ihe nkesa arụnyere kpamkpam (vds), ma ọ bụ ma ọ dịkarịa ala na-aga n'ihu nyochaa isiokwu - ọ bụrụ na ọ dị ọhụrụ, dee na nkọwa ebe a, n'ihi na o doro anya na ọ bụghị onye ọ bụla ga-akwaga na nrụnye ọhụrụ ...
UPD 10: Daalụ ọzọ
UPD 11: Site na
(mgbe iji otu ma ọ bụ usoro ọzọ nke ịlụ ọgụ malware a)
N'ezie ịkwesịrị ịmalitegharị - malware na-anọdụ ala na usoro mepere emepe yana, yabụ, na ebe nchekwa, wee dee onwe ya nke ọhụrụ na cron kwa sekọnd 30 ọ bụla.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: na-emesi onwe anyị obi ike na ndị maara ihe anaghị agbanarị mgbọrọgwụ - otu ihe ọzọ
Ọbụna ma ọ bụrụ na ọ naghị arụ ọrụ site na mgbọrọgwụ, hacking emee ... Enwere m debian jessie UPD: gbatịa na OrangePi m, Exim na-agba ọsọ site na Debian-exim ma ka na-agba ọsọ mere, okpueze furu efu, wdg.
UPD 15: mgbe ị na-aga na nkesa dị ọcha site na nke mebiri emebi, echefula banyere ịdị ọcha.
Mgbe ị na-ebufe data, ṅaa ntị ọ bụghị naanị na faịlụ executable ma ọ bụ nhazi, kamakwa na ihe ọ bụla nwere ike ịnwe iwu ọjọọ (dịka ọmụmaatụ, na MySQL nke a nwere ike ịbụ CREATE TRIGGER ma ọ bụ Mepụta EVENT). Ọzọkwa, echefula banyere .html, .js, .php, .py na faịlụ ọha ndị ọzọ (dị ka faịlụ ndị a, dị ka data ndị ọzọ, kwesịrị iweghachite site na mpaghara ma ọ bụ nchekwa ndị ọzọ tụkwasịrị obi).
UPD 16/XNUMX/XNUMX:
Ya mere onye ọ bụla mgbe emelitere ị kwesịrị ijide n'aka na ị na-eji ụdị ọhụrụ ahụ!
exim --version
Anyị na-edozi kpọmkwem ọnọdụ ha ọnụ.
Ihe nkesa ahụ ji DirectAdmin na ngwugwu da_exim ochie ya (ụdị ochie, na-enweghị adịghị ike).
N'otu oge ahụ, site n'enyemaka nke DirectAdmin's custombuild ngwugwu njikwa, n'ezie, arụnyere a ọhụrụ ụdị nke Exim, nke bụbu ngwa ngwa.
N'ọnọdụ a, imelite site na custombuild nyekwara aka.
Echefula ime nkwado ndabere na mpaghara tupu nnwale ndị dị otú ahụ, ma hụkwa na tupu/mgbe emelitere usoro Exim niile bụ nke ochie.
isi: www.habr.com