Exim を 4.92 に緊急に更新してください - アクティブな感染があります

メール サーバーで Exim バージョン 4.87 ～ 4.91 を使用している同僚は、CVE-4.92-2019 によるハッキングを避けるために以前に Exim 自体を停止していたので、緊急にバージョン 10149 に更新してください。

世界中の数百万台のサーバーが潜在的に脆弱であり、この脆弱性は重大と評価されています (CVSS 3.0 基本スコア = 9.8/10)。 攻撃者は、多くの場合 root からサーバー上で任意のコマンドを実行できます。

修正バージョン (4.92) またはすでにパッチが適用されているバージョンを使用していることを確認してください。
または既存のものにパッチを適用します。スレッドを参照してください 真っ白なコメント.

のアップデート CentOSの6： cm。 テオドールさんのコメント — centos 7 の場合でも、epel から直接到着していない場合は機能します。

UPD: Ubuntu が影響を受けます 18.04と18.10、それら向けのアップデートがリリースされました。 バージョン 16.04 および 19.04 は、カスタム オプションがインストールされていない限り影響を受けません。 さらに詳しく 彼らの公式ウェブサイトで.

Opennet の問題に関する情報
輸出入ウェブサイトの情報

ここで説明されている問題が (おそらくボットによって) 積極的に悪用されており、一部のサーバー (4.91 で実行されている) が感染していることに気付きました。

さらに読む必要があるのは、すでに「理解した」人だけです。すべてを新しいソフトウェアを備えたクリーンな VPS に移すか、解決策を探す必要があります。 試してみますか？ 誰かがこのマルウェアを克服できるかどうか書いてください。

Exim ユーザーでこれを読んでいるあなたがまだアップデートしていない場合 (4.92 またはパッチ適用バージョンが利用可能であることを確認していない場合)、停止して実行してアップデートしてください。

すでにそこに到達している人のために、続けてみましょう...

UPD： supersmile2009 は別の種類のマルウェアを発見しました そして、次のように適切なアドバイスを与えてくれます。

多種多様なマルウェアが存在する可能性があります。 間違った目的で薬を発売して列を空けても、ユーザーは治癒せず、何の治療が必要なのかも分からない可能性があります。

感染は次のように顕著です。 [kthrotlds] はプロセッサをロードします。 弱い VDS では 100% ですが、サーバーでは弱いですが顕著です。

感染後、マルウェアは cron エントリを削除し、そこに自身だけを登録して 4 分ごとに実行され、crontab ファイルを不変にします。 Crontab -e 変更を保存できず、エラーが発生します。

Immutable は、たとえば次のように削除してから、コマンド ライン (1.5kb) を削除できます。

chattr -i /var/spool/cron/root
crontab -e

次に、crontab エディター (vim) で、次の行を削除して保存します。dd
:wq

ただし、アクティブなプロセスの一部が再び上書きされており、それを解明中です。

同時に、インストーラー スクリプト (以下を参照) からのアドレスにぶら下がっているアクティブな wget (またはカール) の束があり、今のところこのようにそれらをノックダウンしていますが、再び開始されます。

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

トロイの木馬のインストーラー スクリプトはここ (centos) で見つかりました: /usr/local/bin/nptd... 回避するために投稿しているわけではありませんが、感染している人でシェル スクリプトを理解している人がいる場合は、もっと注意深く調べてください。

情報が更新され次第追記させていただきます。

UPD 1: ファイルを削除する (予備的な chattr -i を使用) /etc/cron.d/root、/etc/crontab、rm -Rf /var/spool/cron/root は役に立ちませんでした。また、サービスを停止することもできませんでした。とりあえず crontab を完全に破棄します (bin ファイルの名前を変更します)。

UPD 2: トロイの木馬インストーラーは他の場所にも存在することがあり、サイズによる検索が役に立ちました。
検索 / -サイズ 19825c

UPD 3： 警告！ このトロイの木馬は、selinux を無効にするだけでなく、独自の SSHキー ${sshdir}/authorized_keys にあります! また、/etc/ssh/sshd_config 内の次のフィールドがまだ YES に設定されていない場合は、これらのフィールドをアクティブにします。
PermitRootLoginはい
RSA認証はい
PubkeyAuthenticationはい
エコー PAM の使用 はい
PasswordAuthentication はい

UPD 4: 現時点での要約: Exim、cron (ルート付き) を無効にし、ssh からトロイの木馬キーを緊急に削除し、sshd 設定を編集し、sshd を再起動します。 これが役立つかどうかはまだ明らかではありませんが、これがなければ問題が発生します。

読者がそこから始められるように、パッチ/アップデートに関するコメントから重要な情報をメモの先頭に移動しました。

UPD 5： 別のデニーが書いています マルウェアが WordPress のパスワードを変更したということです。

UPD 6： ポールマンは一時的な治療法を用意した、テストしてみましょう！ 再起動またはシャットダウン後、薬は消えたように見えますが、少なくとも今のところはそれだけです。

安定した解決策を作った (または見つけた) 人は、ぜひ書いてください。あなたは多くの人を助けるでしょう。

UPD 7： ユーザーclsv 書いている：

Exim で未送信のレターのおかげでウイルスが復活したとまだ言っていない場合は、レターを再度送信しようとすると復元されます。/var/spool/exim4 を調べてください。

次のようにして Exim キュー全体をクリアできます。
exipick -i | xargs exim -Mrm
キュー内のエントリ数を確認します。
exim-bpc

UPD 8: 再び AnotherDennyさん、情報ありがとうございます: FirstVDS が独自のバージョンの治療スクリプトを提供しました。テストしてみましょう!

UPD9：次のようです 作品、ありがとうございました キリル 脚本のために！

重要なことは、サーバーがすでに侵害されており、攻撃者がさらに非典型的な厄介なもの (ドロッパーにはリストされていない) を仕掛けることができた可能性があることを忘れないでください。

したがって、完全にインストールされたサーバー (vds) に移動するか、少なくともトピックの監視を継続することをお勧めします。何か新しいことがあれば、ここにコメントを書き込んでください。 明らかに、誰もが新規インストールに移行するわけではありません...

UPD 10: 改めて感謝します clsv: サーバーが感染しているだけでなく、 ラズベリーパイ、およびあらゆる種類の仮想マシン...したがって、サーバーを保存した後、ビデオ コンソール、ロボットなどを保存することを忘れないでください。

UPD 11: から 治癒スクリプトの作者 手動ヒーラー向けの重要な注意事項:
(このマルウェアと戦う何らかの方法を使用した後)

必ず再起動する必要があります。マルウェアは開いているプロセスのどこか、したがってメモリ内に常駐し、30 秒ごとに cron に新しいマルウェアを書き込みます。

UPD 12： supersmile2009 が見つかりました Exim は別の (?) マルウェアをキューに入れており、治療を開始する前に、まず特定の問題を調査するようアドバイスしています。

UPD 13： ロルクがアドバイスする むしろ、クリーンなシステムに移行し、ファイルを非常に慎重に転送してください。 このマルウェアはすでに公開されており、他の、あまり目立たない、より危険な方法で使用される可能性があります。

UPD 14: 賢い人は root から逃げたりしないので安心してください - もう XNUMX つ clsvからの緊急メッセージ:

ルートからは機能しない場合でも、ハッキングが発生します...私は Debian jessie UPD を持っています: OrangePi でストレッチし、Exim は Debian-exim から実行されていますが、依然としてハッキングが発生し、クラウンが失われたなどです。

UPD 15: 侵害されたサーバーからクリーンなサーバーに移行するときは、衛生状態を忘れないでください。 w0den からの役立つリマインダー:

データを転送するときは、実行可能ファイルや設定ファイルだけでなく、悪意のあるコマンドが含まれている可能性のあるものにも注意してください (たとえば、MySQL では、CREATE TRIGGER や CREATE EVENT など)。 また、.html、.js、.php、.py およびその他のパブリック ファイルについても忘れないでください (理想的には、これらのファイルは、他のデータと同様に、ローカルまたは他の信頼できるストレージから復元する必要があります)。

UPD 16： デイキン и savage_me 別の問題が発生しました: システムのポートにはあるバージョンの Exim がインストールされていましたが、実際には別のバージョンが実行されていました。

それでみんな アップデート後に確認する必要があります 新しいバージョンを使用していることを確認してください。

exim --version

私たちは彼らの具体的な状況を一緒に整理しました。

サーバーは DirectAdmin とその古い da_exim パッケージ (脆弱性のない古いバージョン) を使用していました。

同時に、DirectAdmin のcustombuild パッケージ マネージャーの助けを借りて、実際には、すでに脆弱な Exim の新しいバージョンがインストールされました。

この特定の状況では、custombuild による更新も役に立ちました。

このような実験の前にバックアップを作成することを忘れないでください。また、更新の前後にすべての Exim プロセスが古いバージョンであることを確認してください。 止められた 記憶に「固定」されません。

出所： habr.com