Пошта серверлерінде Exim 4.87...4.91 нұсқаларын пайдаланатын әріптестер - CVE-4.92-2019 арқылы бұзуды болдырмау үшін алдымен Exim-тің өзін тоқтатып, 10149 нұсқасына шұғыл түрде жаңартыңыз.
Дүние жүзіндегі бірнеше миллион серверлер ықтимал осал, осалдық өте маңызды деп бағаланады (CVSS 3.0 базалық балл = 9.8/10). Шабуылшылар серверде көптеген жағдайларда түбірден ерікті пәрмендерді іске қоса алады.
Бекітілген нұсқаны (4.92) немесе әлдеқашан түзетілген нұсқаны пайдаланып жатқаныңызға көз жеткізіңіз.
Немесе барын түзетіңіз, жіпті қараңыз .
үшін жаңарту centos 6: см. — centos 7 үшін, егер ол тікелей epel-ден келмеген болса, ол да жұмыс істейді.
UPD: Ubuntu әсер етті 18.04 және 18.10, олар үшін жаңарту шығарылды. 16.04 және 19.04 нұсқаларына теңшелетін опциялар орнатылмайынша әсер етпейді. Толығырақ .
Қазір онда сипатталған мәселе белсенді түрде пайдаланылуда (бот арқылы, мүмкін), мен кейбір серверлерде инфекцияны байқадым (4.91-де жұмыс істейді).
Әрі қарай оқу тек «оны алған» адамдар үшін маңызды - бәрін жаңа бағдарламалық жасақтамасы бар таза VPS-ке тасымалдау керек немесе шешім іздеу керек. Біз тырысамыз ба? Бұл зиянды бағдарламаны жеңе алатын адам болса, жазыңыз.
Егер сіз Exim пайдаланушысы болсаңыз және оны оқып отырсаңыз, әлі де жаңартылмаған болсаңыз (4.92 немесе патч нұсқасы бар екеніне көз жеткізбесеңіз), тоқтап, жаңарту үшін іске қосыңыз.
Ол жерге жеткендер үшін жалғастырайық...
UPD: және дұрыс кеңес береді:
Зиянды бағдарламалардың алуан түрлі болуы мүмкін. Дәрі-дәрмекті дұрыс емес нәрсе үшін іске қосу және кезекті жою арқылы қолданушы емделмейді және не үшін емделу керектігін білмеуі мүмкін.
Инфекция келесідей байқалады: [ktrotlds] процессорды жүктейді; әлсіз VDS-де бұл 100%, серверлерде ол әлсіз, бірақ байқалады.
Инфекциядан кейін зиянды бағдарлама cron жазбаларын жояды, crontab файлын өзгермейтін етіп әр 4 минут сайын іске қосу үшін сонда ғана тіркеледі. Crontab -e өзгертулерді сақтай алмайды, қате береді.
Өзгермейтінді жоюға болады, мысалы, келесідей, содан кейін пәрмен жолын жою (1.5 кб):
chattr -i /var/spool/cron/root
crontab -e
Әрі қарай, crontab редакторында (vim) жолды жойып, сақтаңыз:dd
:wq
Дегенмен, кейбір белсенді процестер қайта жазылуда, мен оны анықтап жатырмын.
Сонымен қатар, орнатушы сценарийіндегі мекенжайларда ілулі тұрған белсенді wgets (немесе бұйралар) бар (төменде қараңыз), мен оларды қазір осылай құлатып жатырмын, бірақ олар қайтадан басталады:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Мен троян орнатушы сценарийін осы жерден таптым (centos): /usr/local/bin/nptd... Мен оны болдырмау үшін жариялап отырған жоқпын, бірақ егер біреу вирус жұқтырса және қабық сценарийлерін түсінсе, оны мұқият зерттеңіз.
Ақпарат жаңартылған сайын қосамын.
UPD 1: файлдарды жою (алдын ала chattr -i арқылы) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root көмектеспеді, қызметті тоқтату да көмектеспеді - маған тура келді crontab әзірше оны толығымен жыртып алыңыз (бин файлының атын өзгерту).
UPD 2: Троян орнатушысы кейде басқа жерлерде де жатып, өлшемі бойынша іздеу көмектесті:
табу / -өлшемі 19825c
UPD 3/XNUMX/XNUMX: Ескерту! selinux-ты өшірумен қатар, троян өзін де қосады SSH кілті ${sshdir}/authorized_keys ішінде! Және /etc/ssh/sshd_config ішіндегі келесі өрістерді белсендіреді, егер олар әлі ИӘ күйіне орнатылмаған болса:
PermitRootLogin иә
RSAAаутентификация иә
PubkeyAuthentication иә
echo UsePAM иә
PasswordAuthentication иә
UPD 4: Әзірге қорытындылау үшін: Exim, cron (түбірлері бар) өшіріңіз, ssh-тен троян кілтін жедел алып тастаңыз және sshd конфигурациясын өңдеңіз, sshd қайта іске қосыңыз! Бұл көмектесетіні әлі белгісіз, бірақ онсыз мәселе бар.
Оқырмандар одан бастау үшін патчтар/жаңартулар туралы түсініктемелерден маңызды ақпаратты жазбаның басына жылжыттым.
UPD 5/XNUMX/XNUMX: зиянды бағдарлама WordPress жүйесіндегі құпия сөздерді өзгертті.
UPD 6/XNUMX/XNUMX: , сынап көрейік! Қайта жүктегеннен немесе өшіргеннен кейін, дәрі жоғалып кеткен сияқты, бірақ әзірге бұл.
Тұрақты шешім шығаратын (немесе тапқан) кез келген адам жазыңыз, сіз көпке көмектесесіз.
UPD 7/XNUMX/XNUMX: жазады:
Егер сіз Exim қолданбасында жіберілмеген хаттың арқасында вирустың қайта тірілуін әлі айтпаған болсаңыз, хатты қайта жіберуге тырысқанда, ол қалпына келтірілді, /var/spool/exim4 ішінен қараңыз.
Сіз бүкіл Exim кезегін келесідей тазалай аласыз:
exipick -i | xargs exim - мырза
Кезектегі жазбалар санын тексеру:
exim -bpc
UPD 8: Тағы да : FirstVDS емдеуге арналған сценарийдің өз нұсқасын ұсынды, оны сынап көрейік!
UPD 9: Бұл ұқсайды жұмыс істейді, Рақмет сізге сценарий үшін!
Ең бастысы, сервердің бұзылғанын ұмытпау керек және шабуылдаушылар басқа атипикалық жағымсыз нәрселерді (тамшыда көрсетілмеген) отырғыза алар еді.
Сондықтан, толығымен орнатылған серверге (vds) көшкен дұрыс немесе, кем дегенде, тақырыпты бақылауды жалғастыру - егер жаңа нәрсе болса, мұнда түсініктемелерде жазыңыз, өйткені Әркім жаңа қондырғыға көшпейтіні анық...
UPD 10: Тағы да рахмет : бұл серверлердің ғана емес, сонымен қатар вирус жұққанын еске салады Morpberry Pi, және виртуалды машиналардың барлық түрлері... Сондықтан серверлерді сақтағаннан кейін бейне консольдерді, роботтарды және т.б. сақтауды ұмытпаңыз.
UPD 11: бастап Қолмен емдеушілер үшін маңызды ескерту:
(осы зиянды бағдарламамен күресудің бір немесе басқа әдісін қолданғаннан кейін)
Сізге міндетті түрде қайта жүктеу керек - зиянды бағдарлама ашық процестерде және сәйкесінше жадта отырады және әр 30 секунд сайын жаңасын жазады.
UPD 12/XNUMX/XNUMX: Exim-де кезекте басқа(?) зиянды бағдарлама бар және емдеуді бастамас бұрын алдымен нақты мәселеңізді зерттеуге кеңес береді.
UPD 13/XNUMX/XNUMX: керісінше, таза жүйеге өтіп, файлдарды өте мұқият тасымалдаңыз, өйткені Зиянды бағдарлама қазірдің өзінде жалпыға қолжетімді және оны басқа, онша айқын емес және қауіптірек жолдармен пайдалануға болады.
UPD 14: ақылды адамдар тамырдан шықпайтынына өзімізді сендіреміз - тағы бір нәрсе :
Түбірден жұмыс істемесе де, бұзу орын алады... Менде debian jessie UPD бар: менің OrangePi-де stretch, Exim Debian-exim жүйесінен жұмыс істейді және әлі де бұзу орын алды, тәждер жоғалды, т.б.
UPD 15: бұзылған серверден таза серверге көшкен кезде гигиена туралы ұмытпаңыз, :
Деректерді тасымалдау кезінде тек орындалатын немесе конфигурация файлдарына ғана емес, сонымен қатар зиянды пәрмендер болуы мүмкін кез келген нәрсеге назар аударыңыз (мысалы, MySQL-де бұл CREATE TRIGGER немесе CREATE EVENT болуы мүмкін). Сондай-ақ, .html, .js, .php, .py және басқа жалпы файлдар туралы ұмытпаңыз (ең дұрысы, бұл файлдар басқа деректер сияқты жергілікті немесе басқа сенімді жадтан қалпына келтірілуі керек).
UPD 16/XNUMX/XNUMX: и : жүйеде порттарда орнатылған Exim бағдарламасының бір нұсқасы болды, бірақ іс жүзінде ол басқасын іске қосты.
Сондықтан барлығы жаңартудан кейін көз жеткізу керек сіз жаңа нұсқаны пайдаланып жатырсыз!
exim --versionБіз олардың нақты жағдайын бірге реттедік.
Сервер DirectAdmin және оның ескі da_exim бумасын пайдаланды (ескі нұсқа, осалдықсыз).
Сонымен қатар, DirectAdmin-тің custombuild пакет менеджерінің көмегімен, шын мәнінде, Exim-тің осал болған жаңа нұсқасы орнатылды.
Осы нақты жағдайда custombuild арқылы жаңарту да көмектесті.
Мұндай эксперименттер алдында сақтық көшірме жасауды ұмытпаңыз, сонымен қатар жаңартуға дейін/жаңартқаннан кейін барлық Exim процестері ескі нұсқада екеніне көз жеткізіңіз. және жадта «қалыптаспайды».
Ақпарат көзі: www.habr.com