Kolega sing nggunakake Exim versi 4.87...4.91 ing server mail - cepet nganyari kanggo versi 4.92, wis mandegake pisanan Exim dhewe supaya hacking liwat CVE-2019-10149.
Sawetara yuta server ing saindenging jagad duweni potensi rentan, kerentanan kasebut dianggep kritis (skor basis CVSS 3.0 = 9.8/10). Panyerang bisa mbukak printah sewenang-wenang ing server sampeyan, ing akeh kasus saka root.
Mangga priksa manawa sampeyan nggunakake versi tetep (4.92) utawa sing wis ditambal.
Utawa patch sing ana, ndeleng thread
Update kanggo centro 6: cm.
UPD: Ubuntu kena pengaruh 18.04 lan 18.10, nganyari wis dirilis kanggo wong-wong mau. Versi 16.04 lan 19.04 ora kena pengaruh kajaba opsi khusus wis diinstal. rincian liyane
Saiki masalah sing diterangake ana sing dieksploitasi kanthi aktif (dening bot, mesthine), aku weruh infeksi ing sawetara server (mlaku ing 4.91).
Waca liyane mung cocog kanggo wong sing wis "entuk" - sampeyan kudu ngirim kabeh menyang VPS sing resik kanthi piranti lunak seger, utawa golek solusi. Apa kita nyoba? Tulis yen ana sing bisa ngatasi malware iki.
Yen sampeyan, minangka pangguna Exim lan maca iki, isih durung dianyari (durung nggawe manawa 4.92 utawa versi patched kasedhiya), mangga mandheg lan mbukak kanggo nganyari.
Kanggo sing wis teka, ayo terus ...
UPD:
Bisa uga ana macem-macem malware. Kanthi ngluncurake obat kanggo perkara sing salah lan ngresiki antrian, pangguna ora bakal diobati lan bisa uga ora ngerti apa sing kudu diobati.
Infèksi katon kaya iki: [kthrotlds] mbukak prosesor; ing VDS banget iku 100%, ing server iku ora pati roso nanging katon.
Sawise infèksi, malware mbusak entri cron, mung ndhaptar ing kono kanggo mbukak saben 4 menit, nalika nggawe file crontab ora bisa diganti. Crontab -e ora bisa nyimpen owahan, menehi kesalahan.
Imotable bisa dibusak, contone, kaya iki, banjur mbusak baris printah (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sabanjure, ing editor crontab (vim), mbusak baris lan simpen:dd
:wq
Nanging, sawetara pangolahan aktif nimpa maneh, aku mikir.
Ing wektu sing padha, ana akeh wgets aktif (utawa curls) sing digantung ing alamat saka skrip installer (ndeleng ngisor), aku bakal nuthuk kaya saiki, nanging wiwit maneh:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Aku nemokake skrip installer Trojan ing kene (centos): /usr/local/bin/nptd... Aku ora ngeposake supaya ora, nanging yen ana wong sing kena infeksi lan mangerteni skrip cangkang, mangga sinau kanthi luwih teliti.
Aku bakal nambah minangka informasi dianyari.
UPD 1: Mbusak file (karo chattr -i wiwitan) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ora mbantu, utawa mandheg layanan - Aku kudu crontab rampung kanggo saiki nyopot (ganti jeneng file bin).
UPD 2: Pemasang Trojan kadhangkala uga ana ing papan liya, nggoleki kanthi ukuran mbantu:
golek / -ukuran 19825c
UPD3: Ati-ati Saliyane mateni selinux, Trojan uga nambah dhewe tombol SSH ing ${sshdir}/authorized_keys! Lan ngaktifake kolom ing ngisor iki ing /etc/ssh/sshd_config, yen durung disetel menyang YES:
PermitRootLogin ya
RSAAuthentication ya
Otentikasi Pubkey ya
echo UsePAM ya
PasswordAuthentication ya
UPD 4: Kanggo ngringkes saiki: mateni Exim, cron (karo werna), urgently mbusak tombol Trojan saka ssh lan ngowahi konfigurasi sshd, miwiti maneh sshd! Lan durung cetha yen iki bakal mbantu, nanging tanpa ana masalah.
Aku dipindhah informasi penting saka komentar bab patch / nganyari kanggo awal cathetan, supaya maca miwiti karo.
UPD5:
UPD6:
Sapa wae sing nggawe (utawa nemokake) solusi sing stabil, tulisen, sampeyan bakal mbantu akeh.
UPD7:
Yen sampeyan durung ujar manawa virus kasebut diuripake maneh amarga surat sing ora dikirim ing Exim, nalika sampeyan nyoba ngirim layang maneh, bakal dibalekake maneh, deleng ing /var/spool/exim4
Sampeyan bisa mbusak kabeh antrian Exim kaya iki:
eksipick -i | xargs exim -Mrm
Priksa jumlah entri ing antrian:
exim -bpc
UPD 8: Maneh
UPD 9: Iku katon kaya ΡΠ°Π±ΠΎΡΠ°Π΅Ρ, matur nuwun
Sing utama yaiku ora lali manawa server wis dikompromi lan para panyerang bisa nandur sawetara perkara sing ora apik (ora kadhaptar ing dropper).
Mulane, luwih becik pindhah menyang server sing wis diinstal (vds), utawa paling ora terus ngawasi topik kasebut - yen ana sing anyar, tulis ing komentar ing kene, amarga temenan ora kabeh wong bakal pindhah menyang instalasi anyar ...
UPD 10: Matur nuwun maneh
UPD 11: Saka
(sawise nggunakake siji utawa cara liya kanggo nglawan malware iki)
Sampeyan mesthi kudu urip maneh - malware lenggah ing endi wae ing proses mbukak lan, kanthi mangkono, ing memori, lan nulis dhewe sing anyar kanggo cron saben 30 detik
UPD12:
UPD13:
UPD 14: ngyakinake awake dhewe yen wong pinter ora mlayu saka oyod - siji maneh
Malah yen ora bisa saka ROOT, hacking occurs ... Aku duwe debian jessie UPD: babagan ing OrangePi sandi, Exim mlaku saka Debian-exim lan isih hacking kedaden, makutha ilang, etc.
UPD 15: nalika pindhah menyang server sing resik saka sing dikompromi, aja lali babagan kebersihan,
Nalika nransfer data, mbayar manungsa waΓ© ora mung kanggo file eksekusi utawa konfigurasi, nanging uga kanggo apa wae sing bisa ngemot printah angkoro (contone, ing MySQL iki bisa nggawe TRIGGER utawa Nggawe ACARA). Uga, aja lali babagan .html, .js, .php, .py lan file umum liyane (saenipun file kasebut, kaya data liyane, kudu dibalekake saka panyimpenan lokal utawa liyane sing dipercaya).
UPD16:
Dadi kabeh wong sawise nganyari sampeyan kudu nggawe manawa yen sampeyan nggunakake versi anyar!
exim --version
We diurutake metu kahanan tartamtu bebarengan.
Server nggunakake DirectAdmin lan paket da_exim lawas (versi lawas, tanpa kerentanan).
Ing wektu sing padha, nggunakake manajer paket custombuild DirectAdmin, nyatane, versi Exim sing luwih anyar banjur diinstal, sing wis rentan.
Ing kahanan tartamtu iki, nganyari liwat custombuild uga mbantu.
Aja lali nggawe serep sadurunge eksperimen kasebut, lan priksa manawa sadurunge / sawise nganyari kabeh proses Exim saka versi lawas.
Source: www.habr.com