Hevalên ku guhertoyên Exim 4.87...4.91 li ser serverên xwe yên nameyê bikar tînin - bi lezgînî guhertoya 4.92-ê nûve bikin, ku pêşî Exim xwe rawestand da ku ji hêla CVE-2019-10149 ve ji hakkirinê dûr nekevin.
Çend mîlyon serverên li çaraliyê cîhanê bi potansiyel xeternak in, qelsî wekî krîtîk tête nirxandin (CVSS 3.0 xala bingehîn = 9.8/10). Êrîşkar dikarin fermanên keyfî li ser servera we, di pir rewşan de ji root, bimeşînin.
Ji kerema xwe pê ewle bine ku hûn guhertoyek sabît (4.92) an jî ya ku ji berê ve hatî verast kirin bikar tînin.
An jî ya heyî patch bikin, li ser mijarê bibînin
Ji bo nûvekirin sentos 6: cm.
UPD: Ubuntu bandor dike 18.04 û 18.10, ji bo wan nûvekirinek derketiye. Guhertoyên 16.04 û 19.04 nayên bandor kirin heya ku vebijarkên xwerû li ser wan nehatibin saz kirin. Zêdetir hûrgulî
Naha pirsgirêka ku li wir hatî destnîşan kirin bi rengek çalak tê îstismar kirin (ji hêla botek, gumanbar), min li ser hin serveran enfeksiyonek dît (li ser 4.91-ê dixebitin).
Xwendina bêtir tenê ji bo kesên ku jixwe "ew bi dest xistine" têkildar e - hûn hewce ne ku her tiştî bi nermalava nû veguhezînin VPS-ya paqij, an jî li çareseriyê bigerin. Ma em biceribînin? Binivîsin gelo kes dikare vê malware bi ser keve.
Ger hûn, ku hûn bikarhênerek Exim in û vê yekê dixwînin, hîn jî nûve nekiriye (piştrast nekiriye ku 4.92 an guhertoyek patched heye), ji kerema xwe rawestin û birevin da ku nûve bikin.
Ji bo yên ku berê xwe dane wir, em berdewam bikin…
UPD:
Dibe ku celebek mezin a malware hebe. Bi destpêkirina dermanê ji bo tiştê xelet û paqijkirina rêzê, bikarhêner nayê derman kirin û dibe ku nizanibe ji bo çi hewce dike ku were derman kirin.
Infeksiyon bi vî rengî xuya dibe: [kthrotlds] pêvajoyê bar dike; li ser VDS-ya qels ew 100%, li ser serveran qelstir e lê xuyang e.
Piştî enfeksiyonê, malware navnîşên kronan jê dike, tenê xwe li wir tomar dike da ku her 4 hûrdeman bixebite, di heman demê de pelê crontab neguhêrbar dike. Crontab -e nikare guhertinan tomar bike, xeletiyek dide.
Immutable dikare were rakirin, mînakî, bi vî rengî, û dûv re rêzika fermanê (1.5kb) jê bibe:
chattr -i /var/spool/cron/root
crontab -e
Piştre, di edîtorê crontab (vim) de, rêzê jêbirin û hilînin:dd
:wq
Lêbelê, hin pêvajoyên çalak ji nû ve têne nivîsandin, ez wiya dibînim.
Di heman demê de, li ser navnîşanên ji nivîsara sazkerê (li jêr binêre) komek wgetên çalak (an kulm) daliqandî hene, ez ji bo nuha wan bi vî rengî davêjim, lê ew ji nû ve dest pê dikin:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Min li vir skrîpta sazkerê Trojan (centos) dît: /usr/local/bin/nptd... Ji bo ku jê nerevim ez wê diweşînim, lê ger kesek vegirtî be û ji nivîsarên şêlê fam bike, ji kerema xwe bêtir bi baldarî lêkolîn bikin.
Ji ber ku agahdarî nûvekirî ez ê lê zêde bikim.
UPD 1: Jêbirina pelan (bi chattr -i pêşîn) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ne arîkar bû, ne jî rawestandina karûbarê - neçar ma crontab bi tevahî heya nuha wê jê bike (navê pelê bin biguherîne).
UPD 2: Sazkerê Trojan carinan carinan li cîhên din jî derewan dikir, lêgerîna li gorî mezinbûnê bû alîkar:
find / -size 19825c
UPD 3/XNUMX/XNUMX: Hişyariya kerema xwe! Ji bilî neçalakkirina selinux, Trojan ya xwe jî zêde dike Mifteya SSH li ${sshdir}/authorized_keys! Û qadên jêrîn di /etc/ssh/sshd_config de çalak dike, heke ew berê li YES nehatibin danîn:
PermitRootLogin erê
Nasnameya RSAA erê
PubkeyAuthentication erê
echo UsePAM erê
PasswordAuthentication erê
UPD 4: Ji bo niha kurt bikin: Exim, cron (bi kok) neçalak bikin, bi lezgîn mifteya Trojan ji ssh derxînin û veavakirina sshd biguherînin, sshd ji nû ve bidin destpêkirin! Û hîn ne diyar e ku ev ê alîkariyê bike, lê bêyî wê pirsgirêkek heye.
Min agahdariya girîng ji şîroveyên li ser pêçan / nûvekirinan bar kir destpêka nîşeyê, da ku xwendevan pê dest pê bikin.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Her kesê ku çareseriyek bi îstîqrar çêdike (an dibîne), ji kerema xwe binivîsîne, hûn ê alîkariya gelekan bikin.
UPD 7/XNUMX/XNUMX:
Ger we jixwe negotiye ku vîrus bi xêra nameyek neşandiye li Exim vejîne, gava ku hûn hewl didin ku nameyê ji nû ve bişînin, ew ji nû ve tê sererast kirin, li /var/spool/exim4 binihêrin.
Hûn dikarin tevahiya rêza Exim bi vî rengî paqij bikin:
exipick -i | xargs exim -Mrm
Kontrolkirina hejmara têketinên di rêzê de:
exim -bpc
UPD 8: Dîsa
UPD 9: Wusa dixuye berbiçav, Spas dikim
Ya sereke ev e ku meriv ji bîr neke ku server jixwe tawîz bûye û êrîşkaran dikaribû hin tiştên nebaş ên atipîkî yên din biçînin (di nav dakêşanê de nehatine navnîş kirin).
Ji ber vê yekê, çêtir e ku hûn biçin serverek bi tevahî sazkirî (vds), an bi kêmanî çavdêriya mijarê bidomînin - heke tiştek nû hebe, li vir di şîroveyan de binivîsin, ji ber ku eşkere ne ku her kes dê berbi sazkirinek nû ve biçe ...
UPD 10: Dîsa spas
UPD 11: Ji
(piştî bikaranîna yek an rêbazek din a şerkirina vê malware)
Hûn bê guman hewce ne ku ji nû ve dest pê bikin - malware li cîhek di pêvajoyên vekirî de û, li gorî vê yekê, di bîranînê de rûdine, û ji xwe re yek nû dinivîse ku her 30 saniyeyan carekê bike.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: xwe piştrast bikin ku mirovên jîr ji kokê narevin - tiştek din
Her çend ew ji root nexebite jî, hackkirin çêdibe... Min debian jessie UPD heye: li ser OrangePi-ya xwe dirêj bike, Exim ji Debian-exim dimeşe û dîsa jî hackkirin çêbû, kronan winda kirin, hwd.
UPD 15: gava ku ji serverek paqijkirî veguhezînin, paqijiyê ji bîr nekin,
Dema ku daneyan vediguhezînin, ne tenê bala xwe bidin pelên îcrakar an vesazkirinê, lê her weha her tiştê ku dibe ku emrên xirab hebin jî (mînak, di MySQL de ev dikare bibe CREATE TRIGGER an CREATE EVENT). Her weha, pelên .html, .js, .php, .py û pelên din ên gelemperî ji bîr nekin (bi îdeal ev pel, mîna daneyên din, divê ji depoya herêmî an din a pêbawer werin vegerandin).
UPD 16/XNUMX/XNUMX:
Ji ber vê yekê her kes piştî nûvekirinê divê hûn pê ewle bin ku hûn guhertoya nû bikar tînin!
exim --version
Me bi hev re rewşa wan a taybet safî kir.
Pêşkêşkar DirectAdmin û pakêta wê ya kevn da_exim (guhertoya kevn, bê xirav) bikar anî.
Di heman demê de, bi alîkariya rêveberê pakêta xwerû ya DirectAdmin-ê, bi rastî, guhertoyek nû ya Exim-ê, ku jixwe xeternak bû, hate saz kirin.
Di vê rewşa taybetî de, nûvekirina bi navgîniya xwerû jî arîkar kir.
Ji bîr nekin ku berî ceribandinên weha paşvekêşan çêbikin, û her weha pê ewle bin ku berî / piştî nûvekirinê hemî pêvajoyên Exim guhertoya kevn in.
Source: www.habr.com