ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Nganyari Exim kanthi cepet dadi 4.92 - ana infeksi aktif

Nganyari Exim kanthi cepet dadi 4.92 - ana infeksi aktif

Kolega sing nggunakake Exim versi 4.87...4.91 ing server mail - cepet nganyari kanggo versi 4.92, wis mandegake pisanan Exim dhewe supaya hacking liwat CVE-2019-10149.

Sawetara yuta server ing saindenging jagad duweni potensi rentan, kerentanan kasebut dianggep kritis (skor basis CVSS 3.0 = 9.8/10). Panyerang bisa mbukak printah sewenang-wenang ing server sampeyan, ing akeh kasus saka root.

Mangga priksa manawa sampeyan nggunakake versi tetep (4.92) utawa sing wis ditambal.
Utawa patch sing ana, ndeleng thread komentar immaculate.

Update kanggo centro 6: cm. Komentar dening Theodor - kanggo centos 7 uga bisa, yen durung teka langsung saka epel.

UPD: Ubuntu kena pengaruh 18.04 lan 18.10, nganyari wis dirilis kanggo wong-wong mau. Versi 16.04 lan 19.04 ora kena pengaruh kajaba opsi khusus wis diinstal. rincian liyane ing situs web resmi.

Informasi babagan masalah ing Opennet
Informasi ing situs web Exim

Saiki masalah sing diterangake ana sing dieksploitasi kanthi aktif (dening bot, mesthine), aku weruh infeksi ing sawetara server (mlaku ing 4.91).

Waca liyane mung cocog kanggo wong sing wis "entuk" - sampeyan kudu ngirim kabeh menyang VPS sing resik kanthi piranti lunak seger, utawa golek solusi. Apa kita nyoba? Tulis yen ana sing bisa ngatasi malware iki.

Yen sampeyan, minangka pangguna Exim lan maca iki, isih durung dianyari (durung nggawe manawa 4.92 utawa versi patched kasedhiya), mangga mandheg lan mbukak kanggo nganyari.

Kanggo sing wis teka, ayo terus ...

UPD: supersmile2009 nemokake jinis malware liyane lan menehi saran sing bener:

Bisa uga ana macem-macem malware. Kanthi ngluncurake obat kanggo perkara sing salah lan ngresiki antrian, pangguna ora bakal diobati lan bisa uga ora ngerti apa sing kudu diobati.

Infèksi katon kaya iki: [kthrotlds] mbukak prosesor; ing VDS banget iku 100%, ing server iku ora pati roso nanging katon.

Sawise infèksi, malware mbusak entri cron, mung ndhaptar ing kono kanggo mbukak saben 4 menit, nalika nggawe file crontab ora bisa diganti. Crontab -e ora bisa nyimpen owahan, menehi kesalahan.

Imotable bisa dibusak, contone, kaya iki, banjur mbusak baris printah (1.5kb):

chattr -i /var/spool/cron/root
crontab -e

Sabanjure, ing editor crontab (vim), mbusak baris lan simpen:dd
:wq

Nanging, sawetara pangolahan aktif nimpa maneh, aku mikir.

Ing wektu sing padha, ana akeh wgets aktif (utawa curls) sing digantung ing alamat saka skrip installer (ndeleng ngisor), aku bakal nuthuk kaya saiki, nanging wiwit maneh:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

Aku nemokake skrip installer Trojan ing kene (centos): /usr/local/bin/nptd... Aku ora ngeposake supaya ora, nanging yen ana wong sing kena infeksi lan mangerteni skrip cangkang, mangga sinau kanthi luwih teliti.

Aku bakal nambah minangka informasi dianyari.

UPD 1: Mbusak file (karo chattr -i wiwitan) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ora mbantu, utawa mandheg layanan - Aku kudu crontab rampung kanggo saiki nyopot (ganti jeneng file bin).

UPD 2: Pemasang Trojan kadhangkala uga ana ing papan liya, nggoleki kanthi ukuran mbantu:
golek / -ukuran 19825c

UPD3: Ati-ati Saliyane mateni selinux, Trojan uga nambah dhewe tombol SSH ing ${sshdir}/authorized_keys! Lan ngaktifake kolom ing ngisor iki ing /etc/ssh/sshd_config, yen durung disetel menyang YES:
PermitRootLogin ya
RSAAuthentication ya
Otentikasi Pubkey ya
echo UsePAM ya
PasswordAuthentication ya

UPD 4: Kanggo ngringkes saiki: mateni Exim, cron (karo werna), urgently mbusak tombol Trojan saka ssh lan ngowahi konfigurasi sshd, miwiti maneh sshd! Lan durung cetha yen iki bakal mbantu, nanging tanpa ana masalah.

Aku dipindhah informasi penting saka komentar bab patch / nganyari kanggo awal cathetan, supaya maca miwiti karo.

UPD5: Liyane Denny nyerat manawa malware kasebut ngganti tembung sandhi ing WordPress.

UPD6: Paulmann nyiapake obat sauntara, ayo dites! Sawise urip maneh utawa mati, obat kasebut katon ilang, nanging saiki paling ora.

Sapa wae sing nggawe (utawa nemokake) solusi sing stabil, tulisen, sampeyan bakal mbantu akeh.

UPD7: Panganggo clsv nyerat:

Yen sampeyan durung ujar manawa virus kasebut diuripake maneh amarga surat sing ora dikirim ing Exim, nalika sampeyan nyoba ngirim layang maneh, bakal dibalekake maneh, deleng ing /var/spool/exim4

Sampeyan bisa mbusak kabeh antrian Exim kaya iki:
eksipick -i | xargs exim -Mrm
Priksa jumlah entri ing antrian:
exim -bpc

UPD 8: Maneh thanks kanggo informasi AnotherDenny: FirstVDS nawakake versi script perawatan, ayo nyoba!

UPD 9: Iku katon kaya Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚, matur nuwun Kirill kanggo naskah!

Sing utama yaiku ora lali manawa server wis dikompromi lan para panyerang bisa nandur sawetara perkara sing ora apik (ora kadhaptar ing dropper).

Mulane, luwih becik pindhah menyang server sing wis diinstal (vds), utawa paling ora terus ngawasi topik kasebut - yen ana sing anyar, tulis ing komentar ing kene, amarga temenan ora kabeh wong bakal pindhah menyang instalasi anyar ...

UPD 10: Matur nuwun maneh clsv: iku ngelingaken sing ora mung server infèksi, nanging uga Raspberry Pi, lan kabeh jinis mesin virtual ... Dadi sawise nyimpen server, aja lali nyimpen konsol video, robot, lsp.

UPD 11: Saka penulis naskah penyembuhan Cathetan penting kanggo healers manual:
(sawise nggunakake siji utawa cara liya kanggo nglawan malware iki)

Sampeyan mesthi kudu urip maneh - malware lenggah ing endi wae ing proses mbukak lan, kanthi mangkono, ing memori, lan nulis dhewe sing anyar kanggo cron saben 30 detik

UPD12: supersmile2009 ketemu Exim duwe malware liyane (?) ing antrian lan menehi saran supaya sampeyan sinau masalah tartamtu sadurunge miwiti perawatan.

UPD13: lorc maringi pitutur rodo, pindhah menyang sistem resik, lan nransfer file banget kasebut kanthi teliti, amarga Malware wis kasedhiya kanggo umum lan bisa digunakake kanthi cara liya sing kurang jelas lan luwih mbebayani.

UPD 14: ngyakinake awake dhewe yen wong pinter ora mlayu saka oyod - siji maneh pesen urgent saka clsv:

Malah yen ora bisa saka ROOT, hacking occurs ... Aku duwe debian jessie UPD: babagan ing OrangePi sandi, Exim mlaku saka Debian-exim lan isih hacking kedaden, makutha ilang, etc.

UPD 15: nalika pindhah menyang server sing resik saka sing dikompromi, aja lali babagan kebersihan, pangeling migunani saka w0den:

Nalika nransfer data, mbayar manungsa waΓ© ora mung kanggo file eksekusi utawa konfigurasi, nanging uga kanggo apa wae sing bisa ngemot printah angkoro (contone, ing MySQL iki bisa nggawe TRIGGER utawa Nggawe ACARA). Uga, aja lali babagan .html, .js, .php, .py lan file umum liyane (saenipun file kasebut, kaya data liyane, kudu dibalekake saka panyimpenan lokal utawa liyane sing dipercaya).

UPD16: daykkin ΠΈ savage_me nemoni masalah liyane: sistem wis siji versi Exim diinstal ing bandar, nanging ing kasunyatan iku mlaku liyane.

Dadi kabeh wong sawise nganyari sampeyan kudu nggawe manawa yen sampeyan nggunakake versi anyar!

exim --version

We diurutake metu kahanan tartamtu bebarengan.

Server nggunakake DirectAdmin lan paket da_exim lawas (versi lawas, tanpa kerentanan).

Ing wektu sing padha, nggunakake manajer paket custombuild DirectAdmin, nyatane, versi Exim sing luwih anyar banjur diinstal, sing wis rentan.

Ing kahanan tartamtu iki, nganyari liwat custombuild uga mbantu.

Aja lali nggawe serep sadurunge eksperimen kasebut, lan priksa manawa sadurunge / sawise nganyari kabeh proses Exim saka versi lawas. padha mandheg lan ora "macet" ing memori.

Source: www.habr.com

Add a comment