Samstarfsmenn sem nota Exim útgáfur 4.87...4.91 á póstþjónum sínum - uppfæra brýnt í útgáfu 4.92, hafa áður stöðvað Exim sjálft til að forðast að hakka í gegnum CVE-2019-10149.
Nokkrar milljónir netþjóna um allan heim eru hugsanlega viðkvæmir, varnarleysið er metið sem mikilvægt (CVSS 3.0 grunnstig = 9.8/10). Árásarmenn geta keyrt handahófskenndar skipanir á netþjóninum þínum, í mörgum tilfellum frá rót.
Gakktu úr skugga um að þú sért að nota fasta útgáfu (4.92) eða sem þegar hefur verið lagfært.
Eða plástra þann sem fyrir er, sjá þráð .
Uppfærsla fyrir 6: cm. — fyrir centos 7 virkar það líka, ef það hefur ekki enn komið beint frá epel.
UPD: Ubuntu hefur áhrif 18.04 og 18.10, hefur verið gefin út uppfærsla fyrir þá. Útgáfur 16.04 og 19.04 eru ekki fyrir áhrifum nema sérsniðnir valkostir hafi verið settir upp á þeim. Nánari upplýsingar .
Nú er verið að nýta vandamálið sem lýst er þar með virkum hætti (af láni, væntanlega), ég tók eftir sýkingu á sumum netþjónum (kemur á 4.91).
Frekari lestur á aðeins við fyrir þá sem hafa þegar „fengið það“ - þú þarft annað hvort að flytja allt á hreint VPS með ferskum hugbúnaði eða leita að lausn. Eigum við að reyna? Skrifaðu ef einhver getur sigrast á þessum spilliforritum.
Ef þú, sem ert Exim notandi og lest þetta, hefur enn ekki uppfært (hefur ekki gengið úr skugga um að 4.92 eða pjatlað útgáfa sé til), vinsamlegast stoppaðu og keyrðu til að uppfæra.
Fyrir þá sem þegar eru komnir þangað skulum við halda áfram...
UPP: og gefur rétt ráð:
Það getur verið mikið úrval af spilliforritum. Með því að setja lyfið af stað fyrir rangan hlut og hreinsa biðröðina læknast notandinn ekki og veit kannski ekki fyrir hvað hann þarf að meðhöndla.
Sýkingin er áberandi svona: [kthrotlds] hleður örgjörvann; á veikum VDS er það 100%, á netþjónum er það veikara en áberandi.
Eftir sýkingu eyðir spilliforritið cron-færslum, skráir sig aðeins þar til að keyra á 4 mínútna fresti, en gerir crontab skrána óbreytanlega. Crontab -e getur ekki vistað breytingar, gefur villu.
Hægt er að fjarlægja Immutable, til dæmis, svona, og eyða síðan skipanalínunni (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Næst, í crontab ritlinum (vim), eyða línunni og vista:dd
:wq
Hins vegar eru sum af virku ferlunum að skrifa yfir aftur, ég er að átta mig á því.
Á sama tíma eru fullt af virkum wgets (eða krullum) sem hanga á vistföngunum úr uppsetningarforskriftinni (sjá hér að neðan), ég er að slá þær niður svona í bili, en þær byrja aftur:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ég fann Trojan uppsetningarforskriftina hér (centos): /usr/local/bin/nptd... Ég sendi það ekki til að forðast það, en ef einhver er sýktur og skilur skeljaforskriftir, vinsamlegast kynntu þér það betur.
Ég mun bæta við eftir því sem upplýsingar eru uppfærðar.
UPD 1: Að eyða skrám (með bráðabirgðaspjalli -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root hjálpaði ekki, né að stöðva þjónustuna - ég varð að crontab alveg í bili rífa það út (endurnefna bin skrána).
UPD 2: Trójuuppsetningarforritið lá stundum líka á öðrum stöðum, leit eftir stærð hjálpaði:
finna / -stærð 19825c
UPD 3/XNUMX/XNUMX: Attention! Auk þess að slökkva á selinux, bætir Trójuverjinn einnig sínu eigin SSH lykill í ${sshdir}/authorized_keys! Og virkjar eftirfarandi reiti í /etc/ssh/sshd_config, ef þeir hafa ekki þegar verið stilltir á YES:
PermitRootLogin já
RSAA sannvottun já
Pubkey Staðfesting já
echo UsePAM já
Auðkenning lykilorðs já
UPD 4: Til að draga saman í bili: slökktu á Exim, cron (með rótum), fjarlægðu trójulykilinn brýnt úr ssh og breyttu sshd stillingunni, endurræstu sshd! Og það er ekki enn ljóst að þetta muni hjálpa, en án þess er vandamál.
Ég færði mikilvægar upplýsingar úr athugasemdum um plástra/uppfærslur yfir á upphaf glósunnar, þannig að lesendur byrja á þeim.
UPD 5/XNUMX/XNUMX: að spilliforritið breytti lykilorðum í WordPress.
UPD 6/XNUMX/XNUMX: , við skulum prófa! Eftir endurræsingu eða lokun virðist lyfið hverfa, en í bili er það að minnsta kosti það.
Allir sem búa til (eða finna) stöðuga lausn, vinsamlegast skrifaðu, þú munt hjálpa mörgum.
UPD 7/XNUMX/XNUMX: skrifar:
Ef þú hefur ekki þegar sagt að vírusinn sé endurvakinn þökk sé ósendum bréfi í Exim, þegar þú reynir að senda bréfið aftur, þá er það endurheimt, skoðaðu /var/spool/exim4
Þú getur hreinsað alla Exim biðröðina svona:
exipick -i | xargs exim -Hrm
Athugaðu fjölda færslur í biðröðinni:
exim -bpc
UPD 8: Aftur : FirstVDS bauð upp á sína útgáfu af meðferðarhandritinu, við skulum prófa það!
UPD 9: Það lítur út fyrir að vera verk, takk fyrir handritið!
Aðalatriðið er ekki að gleyma því að þjónninn var þegar í hættu og árásarmennirnir gætu hafa náð að planta einhverjum óhefðbundnari viðbjóðslegum hlutum (ekki skráð í dropanum).
Þess vegna er betra að færa sig yfir á fullkomlega uppsettan netþjón (vds), eða að minnsta kosti halda áfram að fylgjast með efninu - ef það er eitthvað nýtt, skrifaðu í athugasemdir hér, því það eru greinilega ekki allir sem fara yfir í nýja uppsetningu...
UPD 10: Takk aftur : það minnir á að ekki aðeins netþjónar eru sýktir, heldur líka Hindberjum Pi, og alls kyns sýndarvélar... Svo eftir að þú hefur vistað netþjónana skaltu ekki gleyma að vista myndbandstölvurnar þínar, vélmenni o.s.frv.
UPD 11: Frá Mikilvæg athugasemd fyrir handvirka lækna:
(eftir að hafa notað eina eða aðra aðferð til að berjast gegn þessu spilliforriti)
Þú þarft örugglega að endurræsa - spilliforritið situr einhvers staðar í opnum ferlum og þar af leiðandi í minninu og skrifar sér nýjan til að kóna á 30 sekúndna fresti
UPD 12/XNUMX/XNUMX: Exim er með annan(?) spilliforrit í biðröð sinni og ráðleggur þér að kynna þér tiltekið vandamál þitt áður en meðferð hefst.
UPD 13/XNUMX/XNUMX: heldur skaltu fara yfir í hreint kerfi og flytja skrár afar varlega vegna þess Spilliforritið er nú þegar aðgengilegt almenningi og hægt er að nota það á aðra, óljósari og hættulegri hátt.
UPD 14: að fullvissa okkur um að klárt fólk hlaupi ekki frá rótum - eitt í viðbót :
Jafnvel þótt það virki ekki frá rótinni, þá á sér stað reiðhestur... Ég er með debian jessie UPD: teygðu þig á OrangePi minn, Exim keyrir frá Debian-exim og samt gerðist hakk, tapaðar krónur o.s.frv.
UPD 15: þegar þú færir þig yfir á hreinan netþjón frá þeim sem er í hættu, ekki gleyma hreinlætinu, :
Þegar þú flytur gögn skaltu fylgjast ekki aðeins með keyrslu- eða stillingarskrám, heldur einnig öllu sem gæti innihaldið skaðlegar skipanir (td í MySQL gæti þetta verið CREATE TRIGGER eða CREATE EVENT). Einnig má ekki gleyma .html, .js, .php, .py og öðrum opinberum skrám (helst ætti að endurheimta þessar skrár, eins og önnur gögn, úr staðbundinni eða annarri traustri geymslu).
UPD 16/XNUMX/XNUMX: и : Kerfið var með eina útgáfu af Exim uppsett í höfnunum, en í raun var önnur í gangi.
Svo allir eftir uppfærsluna ættir þú að ganga úr skugga um að þú sért að nota nýju útgáfuna!
exim --versionVið gerðum saman sérstakar aðstæður þeirra.
Miðlarinn notaði DirectAdmin og gamla da_exim pakkann hans (gömul útgáfa, án veikleika).
Á sama tíma, með hjálp sérsmíði pakkastjóra DirectAdmin, var reyndar nýrri útgáfa af Exim sett upp, sem þegar var viðkvæm.
Í þessum tilteknu aðstæðum hjálpaði uppfærsla með sérsmíði líka.
Ekki gleyma að taka öryggisafrit fyrir slíkar tilraunir og einnig ganga úr skugga um að fyrir/eftir uppfærsluna séu allir Exim ferlar af gömlu útgáfunni og ekki "fastur" í minni.
Heimild: www.habr.com