ProHoster > Блог > warta internet > Serangan massive ing server email adhedhasar Exim sing rawan

Serangan massive ing server email adhedhasar Exim sing rawan

Peneliti keamanan saka Cybereason dielingake administrator server mail babagan ngenali serangan otomatis massive eksploitasi kerentanan kritis (CVE-2019-10149) ing Exim, ditemokake minggu kepungkur. Sajrone serangan kasebut, panyerang entuk eksekusi kode kanthi hak root lan nginstal malware ing server kanggo pertambangan cryptocurrencies.

Miturut Juni survey otomatis Panggabungan Exim yaiku 57.05% (setaun kepungkur 56.56%), Postfix digunakake ing 34.52% (33.79%) server email, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Miturut diwenehi Layanan Shodan tetep duweni potensi ngrugekke kanggo luwih saka 3.6 yuta server mail ing jaringan global sing durung dianyari kanggo release paling anyar saka Exim 4.92. Udakara 2 yuta server sing bisa rawan ana ing Amerika Serikat, 192 ewu ing Rusia. Miturut Alexa Perusahaan RiskIQ wis ngalih menyang versi 4.92 saka 70% server karo Exim.

Serangan massive ing server email adhedhasar Exim sing rawan

Administrator disaranake nginstal nganyari kanthi cepet sing disiapake dening kit distribusi minggu kepungkur (Debian, ubuntu, openSUSE, Linux Arch, Fedora, EPEL kanggo RHEL / CentOS). Yen sistem duwe versi ngrugekke saka Exim (saka 4.87 kanggo 4.91 klebu), sampeyan kudu nggawe manawa sistem wis ora kompromi dening mriksa crontab kanggo telpon curiga lan priksa manawa ora ana tombol tambahan ing / ROOT /. direktori ssh. Serangan uga bisa dituduhake kanthi ana ing log kegiatan firewall saka host an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io lan an7kmd2wp4xo7hpr.onion.sh, sing digunakake kanggo ndownload malware.

Kawitan nyoba kanggo nyerang server Exim tetep tanggal 9 Juni. Miturut serangan 13 Juni njupuk massal watak. Sawise ngeksploitasi kerentanan liwat gateway tor2web, skrip diundhuh saka layanan sing didhelikake Tor (an7kmd2wp4xo7hpr) sing mriksa anane OpenSSH (yen ora ana). mranata), ngganti setelan (ngidini login root lan otentikasi kunci) lan nyetel pangguna menyang root Kunci RSA, sing nyedhiyakake akses istimewa menyang sistem liwat SSH.

Sawise nyiyapake backdoor, scanner port dipasang ing sistem kanggo ngenali server liyane sing rawan. Sistem kasebut uga digoleki kanggo sistem pertambangan sing wis ana, sing bakal dibusak yen diidentifikasi. Ing tahap pungkasan, panambang sampeyan diundhuh lan didaftar ing crontab. Penambang diundhuh kanthi jeneng file ico (nyatane minangka arsip zip kanthi tembung sandhi "ora sandhi"), sing ngemot file eksekusi ing format ELF kanggo Linux karo Glibc 2.7+.

Source: opennet.ru

Add a comment