სასწრაფოდ განაახლეთ Exim 4.92 - არის აქტიური ინფექცია

კოლეგები, რომლებიც იყენებენ Exim 4.87...4.91 ვერსიებს თავიანთ ფოსტის სერვერებზე - სასწრაფოდ განაახლეთ 4.92 ვერსიაზე, მანამდე რომ შეაჩერეს თავად Exim, რათა თავიდან აიცილონ CVE-2019-10149 გატეხვა.

რამდენიმე მილიონი სერვერი მთელს მსოფლიოში პოტენციურად დაუცველია, დაუცველობა შეფასებულია, როგორც კრიტიკული (CVSS 3.0 საბაზისო ქულა = 9.8/10). თავდამსხმელებს შეუძლიათ თქვენს სერვერზე თვითნებური ბრძანებების გაშვება, ხშირ შემთხვევაში root-დან.

გთხოვთ, დარწმუნდით, რომ იყენებთ ფიქსირებულ ვერსიას (4.92) ან უკვე დაყენებულ ვერსიას.
ან დააყენე არსებული, ნახე თემა უმანკო კომენტარი.

განახლება ამისთვის 6: სმ. თეოდორის კომენტარი — centos 7-ზეც მუშაობს, თუ ჯერ პირდაპირ ეპელიდან არ ჩამოსულა.

UPD: Ubuntu დაზარალდა 18.04 და 18.10, მათთვის გამოვიდა განახლება. 16.04 და 19.04 ვერსიები გავლენას არ მოახდენს, თუ მათზე არ იყო დაინსტალირებული მორგებული პარამეტრები. Უფრო ვრცლად მათ ოფიციალურ ვებგვერდზე.

ინფორმაცია პრობლემის შესახებ Opennet-ზე
ინფორმაცია Exim-ის ვებსაიტზე

ახლა იქ აღწერილი პრობლემა აქტიურად გამოიყენება (სავარაუდოდ ბოტის მიერ), მე შევნიშნე ინფექცია ზოგიერთ სერვერზე (4.91-ზე მუშაობს).

შემდგომი კითხვა აქტუალურია მხოლოდ მათთვის, ვინც უკვე "მიიღო" - თქვენ უნდა გადაიტანოთ ყველაფერი სუფთა VPS-ში ახალი პროგრამული უზრუნველყოფით, ან მოძებნოთ გამოსავალი. ვცადოთ? დაწერეთ თუ ვინმეს შეუძლია ამ მავნე პროგრამის დაძლევა.

თუ თქვენ, ხართ Exim-ის მომხმარებელი და კითხულობთ ამას, ჯერ კიდევ არ განახლებულხართ (არ დარწმუნდით, რომ ხელმისაწვდომია 4.92 ან დაყენებული ვერსია), გთხოვთ შეაჩეროთ და გაუშვით განახლება.

ვინც უკვე მივიდა, გავაგრძელოთ...

UPD: supersmile2009-მა აღმოაჩინა სხვა ტიპის მავნე პროგრამა და იძლევა სწორ რჩევას:

შეიძლება არსებობდეს მავნე პროგრამების დიდი არჩევანი. არასწორი ნივთისთვის წამლის გაშვებით და რიგის გაწმენდით მომხმარებელი არ განიკურნება და შესაძლოა არ იცოდეს, რისთვის სჭირდება მკურნალობა.

ინფექცია შესამჩნევია ასე: [kthrotlds] იტვირთება პროცესორი; სუსტ VDS-ზე არის 100%, სერვერებზე სუსტია მაგრამ შესამჩნევი.

დაინფიცირების შემდეგ, მავნე პროგრამა შლის cron ჩანაწერებს, დარეგისტრირდება მხოლოდ საკუთარ თავს, რათა გაუშვას ყოველ 4 წუთში, ხოლო crontab ფაილი უცვლელი ხდება. კრონტაბი -ე ვერ შეინახავს ცვლილებებს, უშვებს შეცდომას.

Immutable შეიძლება წაიშალოს, მაგალითად, ასე და შემდეგ წაშალოთ ბრძანების ხაზი (1.5 კბ):

chattr -i /var/spool/cron/root
crontab -e

შემდეგი, crontab რედაქტორში (vim), წაშალეთ ხაზი და შეინახეთ:dd
:wq

თუმცა, ზოგიერთი აქტიური პროცესი ისევ იწერება, მე ამას ვხვდები.

ამავდროულად, ინსტალერის სკრიპტის მისამართებზე ჩამოკიდებულია აქტიური wgets (ან curls) თაიგული (იხ. ქვემოთ), მე მათ ახლა ასე ვანგრევ, მაგრამ ისინი თავიდან იწყებენ:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

ვიპოვე ტროას ინსტალერის სკრიპტი აქ (centos): /usr/local/bin/nptd... მე არ ვაქვეყნებ მას ამის თავიდან ასაცილებლად, მაგრამ თუ ვინმე ინფიცირებულია და ესმის shell სკრიპტები, გთხოვთ, უფრო ყურადღებით შეისწავლოთ.

დავამატებ, რადგან ინფორმაცია განახლდება.

UPD 1: ფაილების წაშლა (წინასწარი chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root არ უშველა და არც სერვისის შეწყვეტა - მომიწია crontab მთლიანად გაანადგურე ის (გადარქმევა bin ფაილს).

UPD 2: ტროას ინსტალერი ზოგჯერ სხვა ადგილებშიც იწვა, ზომით ძიება დაეხმარა:
პოვნა / -ზომა 19825c

UPD 3/XNUMX/XNUMX: ყურადღება სელინუქსის გამორთვის გარდა, ტროას ასევე ამატებს საკუთარს SSH გასაღები ${sshdir}/authorized_keys-ში! და ააქტიურებს შემდეგ ველებს /etc/ssh/sshd_config, თუ ისინი უკვე არ არის დაყენებული YES-ზე:
PermitRootLogin დიახ
RSAA ავტორიზაცია დიახ
ავტორიზაცია დიახ
echo UsePAM დიახ
პაროლი ავთენტიფიკაცია დიახ

UPD 4: შეჯამება ახლა: გამორთეთ Exim, cron (ძირებით), სასწრაფოდ ამოიღეთ ტროას გასაღები ssh-დან და შეცვალეთ sshd კონფიგურაცია, გადატვირთეთ sshd! და ჯერ არ არის ნათელი, რომ ეს დაგეხმარებათ, მაგრამ ამის გარეშე პრობლემაა.

მე გადავიტანე მნიშვნელოვანი ინფორმაცია პატჩების/განახლებების შესახებ კომენტარებიდან ჩანაწერის დასაწყისში, რათა მკითხველებმა დაიწყონ ამით.

UPD 5/XNUMX/XNUMX: წერს AnotherDenny რომ მავნე პროგრამამ შეცვალა პაროლები WordPress-ში.

UPD 6/XNUMX/XNUMX: პოლმანმა მოამზადა დროებითი განკურნება, გამოვცადოთ! გადატვირთვის ან გამორთვის შემდეგ, წამალი თითქოს ქრება, მაგრამ ახლა მაინც ასეა.

ვინც აკეთებს (ან იპოვის) სტაბილურ გამოსავალს, გთხოვთ დაწეროთ, ბევრს დაეხმარებით.

UPD 7/XNUMX/XNUMX: მომხმარებელი clsv წერს:

თუ ჯერ კიდევ არ გითქვამს, რომ ვირუსი გაცოცხლებულია Exim-ში გამოუგზავნილი წერილის წყალობით, როდესაც ცდილობთ წერილის ხელახლა გაგზავნას, ის აღდგება, გადახედეთ /var/spool/exim4

თქვენ შეგიძლიათ გაასუფთავოთ მთელი Exim რიგი ასე:
expick -i | xargs exim -Mrm
რიგში ჩანაწერების რაოდენობის შემოწმება:
exim -bpc

UPD 8: ისევ გმადლობთ ინფორმაციისთვის AnotherDenny: FirstVDS-მა შესთავაზა სკრიპტის თავისი ვერსია სამკურნალოდ, მოდით შევამოწმოთ!

UPD 9: როგორც ჩანს სამუშაოები, მადლობა კირილე სცენარისთვის!

მთავარია, არ დაგვავიწყდეს, რომ სერვერი უკვე დაზიანებულია და თავდამსხმელებს შეეძლოთ შეექმნათ კიდევ რამდენიმე ატიპიური საზიზღარი რამ (არ არის ჩამოთვლილი საწვეთურში).

ამიტომ ჯობია გადავიდეთ მთლიანად დაყენებულ სერვერზე (vds), ან მაინც გააგრძელოთ თემის მონიტორინგი - თუ რამე ახალია დაწერეთ აქ კომენტარებში, რადგან აშკარად ყველა არ გადავა ახალ ინსტალაციაზე...

UPD 10: მადლობა კიდევ ერთხელ clsv: შეახსენებს, რომ არა მხოლოდ სერვერებია ინფიცირებული, არამედ Raspberry Pi, და ყველა სახის ვირტუალური მანქანა... ასე რომ, სერვერების შენახვის შემდეგ არ დაგავიწყდეთ შეინახოთ თქვენი ვიდეო კონსოლები, რობოტები და ა.შ.

UPD 11: მდებარეობა სამკურნალო სცენარის ავტორი მნიშვნელოვანი შენიშვნა მანუალური მკურნალებისთვის:
(ამ მავნე პროგრამის წინააღმდეგ ბრძოლის ამა თუ იმ მეთოდის გამოყენების შემდეგ)

თქვენ აუცილებლად უნდა გადატვირთოთ - მავნე პროგრამა ზის სადღაც ღია პროცესებში და, შესაბამისად, მეხსიერებაში და წერს ახალს ყოველ 30 წამში ერთხელ

UPD 12/XNUMX/XNUMX: ნაპოვნია supersmile2009 Exim-ს კიდევ ერთი(?) მავნე პროგრამა აქვს მის რიგში და გირჩევთ, პირველ რიგში შეისწავლოთ თქვენი კონკრეტული პრობლემა მკურნალობის დაწყებამდე.

UPD 13/XNUMX/XNUMX: ლორკი ურჩევს უფრო სწორად, გადადით სუფთა სისტემაზე და გადაიტანეთ ფაილები უკიდურესად ფრთხილად, რადგან მავნე პროგრამა უკვე ხელმისაწვდომია საჯაროდ და მისი გამოყენება შესაძლებელია სხვა, ნაკლებად აშკარა და უფრო საშიში გზებით.

UPD 14: დავიმშვიდოთ საკუთარი თავი, რომ ჭკვიანი ადამიანები ფესვიდან არ გარბიან - კიდევ ერთი რამ სასწრაფო შეტყობინება clsv-დან:

მაშინაც კი, თუ ის არ მუშაობს root-დან, ხდება გატეხვა... მე მაქვს debian jessie UPD: მონაკვეთი ჩემს OrangePi-ზე, Exim მუშაობს Debian-exim-დან და მაინც მოხდა ჰაკინგი, დაკარგული გვირგვინები და ა.შ.

UPD 15: როდესაც გადადიხართ სუფთა სერვერზე კომპრომეტირებული სერვერიდან, არ დაივიწყოთ ჰიგიენა, სასარგებლო შეხსენება w0den-ისგან:

მონაცემთა გადაცემისას ყურადღება მიაქციეთ არა მხოლოდ შესრულებად ან კონფიგურაციის ფაილებს, არამედ ყველაფერს, რაც შეიძლება შეიცავდეს მავნე ბრძანებებს (მაგალითად, MySQL-ში ეს შეიძლება იყოს CREATE TRIGGER ან CREATE EVENT). ასევე, არ დაივიწყოთ .html, .js, .php, .py და სხვა საჯარო ფაილები (იდეალურად ეს ფაილები, ისევე როგორც სხვა მონაცემები, უნდა აღდგეს ადგილობრივი ან სხვა სანდო საცავიდან).

UPD 16/XNUMX/XNUMX: daykkin и savage_me სხვა პრობლემა შეექმნა: სისტემას ჰქონდა Exim-ის ერთი ვერსია დაყენებული პორტებში, მაგრამ რეალურად ის მუშაობდა მეორეზე.

ასე რომ ყველას განახლების შემდეგ უნდა დარწმუნდეთ რომ თქვენ იყენებთ ახალ ვერსიას!

exim --version

ჩვენ ერთად მოვაგვარეთ მათი კონკრეტული მდგომარეობა.

სერვერმა გამოიყენა DirectAdmin და მისი ძველი da_exim პაკეტი (ძველი ვერსია, დაუცველობის გარეშე).

ამავდროულად, DirectAdmin-ის custombuild პაკეტის მენეჯერის დახმარებით, ფაქტობრივად, შემდეგ დაინსტალირდა Exim-ის უფრო ახალი ვერსია, რომელიც უკვე დაუცველი იყო.

ამ კონკრეტულ სიტუაციაში, Custombuild-ის საშუალებით განახლებაც დაეხმარა.

არ დაგავიწყდეთ ასეთი ექსპერიმენტების დაწყებამდე სარეზერვო ასლების გაკეთება და ასევე დარწმუნდით, რომ განახლების წინ/შემდეგ ყველა Exim პროცესი ძველი ვერსიისაა. გააჩერეს და არა "ჩარჩენილი" მეხსიერებაში.

წყარო: www.habr.com