Hevalên ku guhertoyên Exim 4.87...4.91 li ser serverên xwe yên nameyê bikar tînin - bi lezgînî guhertoya 4.92-ê nûve bikin, ku pêşî Exim xwe rawestand da ku ji hêla CVE-2019-10149 ve ji hakkirinê dûr nekevin.
Çend mîlyon serverên li çaraliyê cîhanê bi potansiyel xeternak in, qelsî wekî krîtîk tête nirxandin (CVSS 3.0 xala bingehîn = 9.8/10). Êrîşkar dikarin fermanên keyfî li ser servera we, di pir rewşan de ji root, bimeşînin.
Ji kerema xwe pê ewle bine ku hûn guhertoyek sabît (4.92) an jî ya ku ji berê ve hatî verast kirin bikar tînin.
An jî ya heyî patch bikin, li ser mijarê bibînin .
Ji bo nûvekirin sentos 6: cm. - ji bo centos 7 jî dixebite, heke ew hîn rasterast ji epel nehatibe.
UPD: Ubuntu bandor dike 18.04 û 18.10, ji bo wan nûvekirinek derketiye. Guhertoyên 16.04 û 19.04 nayên bandor kirin heya ku vebijarkên xwerû li ser wan nehatibin saz kirin. Zêdetir hûrgulî .
Naha pirsgirêka ku li wir hatî destnîşan kirin bi rengek çalak tê îstismar kirin (ji hêla botek, gumanbar), min li ser hin serveran enfeksiyonek dît (li ser 4.91-ê dixebitin).
Xwendina bêtir tenê ji bo kesên ku jixwe "ew bi dest xistine" têkildar e - hûn hewce ne ku her tiştî bi nermalava nû veguhezînin VPS-ya paqij, an jî li çareseriyê bigerin. Ma em biceribînin? Binivîsin gelo kes dikare vê malware bi ser keve.
Ger hûn, ku hûn bikarhênerek Exim in û vê yekê dixwînin, hîn jî nûve nekiriye (piştrast nekiriye ku 4.92 an guhertoyek patched heye), ji kerema xwe rawestin û birevin da ku nûve bikin.
Ji bo yên ku berê xwe dane wir, em berdewam bikin…
UPD: û şîreta rast dide:
Dibe ku celebek mezin a malware hebe. Bi destpêkirina dermanê ji bo tiştê xelet û paqijkirina rêzê, bikarhêner nayê derman kirin û dibe ku nizanibe ji bo çi hewce dike ku were derman kirin.
Infeksiyon bi vî rengî xuya dibe: [kthrotlds] pêvajoyê bar dike; li ser VDS-ya qels ew 100%, li ser serveran qelstir e lê xuyang e.
Piştî enfeksiyonê, malware navnîşên kronan jê dike, tenê xwe li wir tomar dike da ku her 4 hûrdeman bixebite, di heman demê de pelê crontab neguhêrbar dike. Crontab -e nikare guhertinan tomar bike, xeletiyek dide.
Immutable dikare were rakirin, mînakî, bi vî rengî, û dûv re rêzika fermanê (1.5kb) jê bibe:
chattr -i /var/spool/cron/root
crontab -e
Piştre, di edîtorê crontab (vim) de, rêzê jêbirin û hilînin:dd
:wq
Lêbelê, hin pêvajoyên çalak ji nû ve têne nivîsandin, ez wiya dibînim.
Di heman demê de, li ser navnîşanên ji nivîsara sazkerê (li jêr binêre) komek wgetên çalak (an kulm) daliqandî hene, ez ji bo nuha wan bi vî rengî davêjim, lê ew ji nû ve dest pê dikin:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Min li vir skrîpta sazkerê Trojan (centos) dît: /usr/local/bin/nptd... Ji bo ku jê nerevim ez wê diweşînim, lê ger kesek vegirtî be û ji nivîsarên şêlê fam bike, ji kerema xwe bêtir bi baldarî lêkolîn bikin.
Ji ber ku agahdarî nûvekirî ez ê lê zêde bikim.
UPD 1: Jêbirina pelan (bi chattr -i pêşîn) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ne arîkar bû, ne jî rawestandina karûbarê - neçar ma crontab bi tevahî heya nuha wê jê bike (navê pelê bin biguherîne).
UPD 2: Sazkerê Trojan carinan carinan li cîhên din jî derewan dikir, lêgerîna li gorî mezinbûnê bû alîkar:
find / -size 19825c
UPD 3/XNUMX/XNUMX: Hişyariya kerema xwe! Ji bilî neçalakkirina selinux, Trojan ya xwe jî zêde dike Mifteya SSH li ${sshdir}/authorized_keys! Û qadên jêrîn di /etc/ssh/sshd_config de çalak dike, heke ew berê li YES nehatibin danîn:
PermitRootLogin erê
Nasnameya RSAA erê
PubkeyAuthentication erê
echo UsePAM erê
PasswordAuthentication erê
UPD 4: Ji bo niha kurt bikin: Exim, cron (bi kok) neçalak bikin, bi lezgîn mifteya Trojan ji ssh derxînin û veavakirina sshd biguherînin, sshd ji nû ve bidin destpêkirin! Û hîn ne diyar e ku ev ê alîkariyê bike, lê bêyî wê pirsgirêkek heye.
Min agahdariya girîng ji şîroveyên li ser pêçan / nûvekirinan bar kir destpêka nîşeyê, da ku xwendevan pê dest pê bikin.
UPD 5/XNUMX/XNUMX: ku malware şîfreyên WordPress-ê guhertiye.
UPD 6/XNUMX/XNUMX: , em ceribandinê bikin! Piştî rebootkirin an sekinandinê, derman xuya dike ku winda dibe, lê heya niha bi kêmanî ew e.
Her kesê ku çareseriyek bi îstîqrar çêdike (an dibîne), ji kerema xwe binivîsîne, hûn ê alîkariya gelekan bikin.
UPD 7/XNUMX/XNUMX: dinivîse:
Ger we jixwe negotiye ku vîrus bi xêra nameyek neşandiye li Exim vejîne, gava ku hûn hewl didin ku nameyê ji nû ve bişînin, ew ji nû ve tê sererast kirin, li /var/spool/exim4 binihêrin.
Hûn dikarin tevahiya rêza Exim bi vî rengî paqij bikin:
exipick -i | xargs exim -Mrm
Kontrolkirina hejmara têketinên di rêzê de:
exim -bpc
UPD 8: Dîsa : FirstVDS guhertoya xwe ya skrîpta dermankirinê pêşkêşî kir, em wê biceribînin!
UPD 9: Wusa dixuye berbiçav, Spas dikim ji bo senaryoyê!
Ya sereke ev e ku meriv ji bîr neke ku server jixwe tawîz bûye û êrîşkaran dikaribû hin tiştên nebaş ên atipîkî yên din biçînin (di nav dakêşanê de nehatine navnîş kirin).
Ji ber vê yekê, çêtir e ku hûn biçin serverek bi tevahî sazkirî (vds), an bi kêmanî çavdêriya mijarê bidomînin - heke tiştek nû hebe, li vir di şîroveyan de binivîsin, ji ber ku eşkere ne ku her kes dê berbi sazkirinek nû ve biçe ...
UPD 10: Dîsa spas : ew bi bîr tîne ku ne tenê servers vegirtî ne, lê di heman demê de jî Raspberry Pi, û her cûre makîneyên virtual... Ji ber vê yekê piştî tomarkirina pêşkêşkeran, ji bîr nekin ku konsolên vîdyoyê, robot û hwd.
UPD 11: Ji Nîşe girîng ji bo dermanên destan:
(piştî bikaranîna yek an rêbazek din a şerkirina vê malware)
Hûn bê guman hewce ne ku ji nû ve dest pê bikin - malware li cîhek di pêvajoyên vekirî de û, li gorî vê yekê, di bîranînê de rûdine, û ji xwe re yek nû dinivîse ku her 30 saniyeyan carekê bike.
UPD 12/XNUMX/XNUMX: Exim di rêza xwe de malwareyek din(?) heye û ji we re şîret dike ku hûn pêşî pirsgirêka xweya taybetî bixwînin berî ku hûn dest bi dermankirinê bikin.
UPD 13/XNUMX/XNUMX: lêbelê, berbi pergalek paqij biçin, û pelan pir bi baldarî veguhezînin, ji ber Malware jixwe gelemperî heye û dikare bi awayên din, kêmtir eşkere û xeternak were bikar anîn.
UPD 14: xwe piştrast bikin ku mirovên jîr ji kokê narevin - tiştek din :
Her çend ew ji root nexebite jî, hackkirin çêdibe... Min debian jessie UPD heye: li ser OrangePi-ya xwe dirêj bike, Exim ji Debian-exim dimeşe û dîsa jî hackkirin çêbû, kronan winda kirin, hwd.
UPD 15: gava ku ji serverek paqijkirî veguhezînin, paqijiyê ji bîr nekin, :
Dema ku daneyan vediguhezînin, ne tenê bala xwe bidin pelên îcrakar an vesazkirinê, lê her weha her tiştê ku dibe ku emrên xirab hebin jî (mînak, di MySQL de ev dikare bibe CREATE TRIGGER an CREATE EVENT). Her weha, pelên .html, .js, .php, .py û pelên din ên gelemperî ji bîr nekin (bi îdeal ev pel, mîna daneyên din, divê ji depoya herêmî an din a pêbawer werin vegerandin).
UPD 16/XNUMX/XNUMX: и : Pergalê guhertoyek Exim-ê di benderan de sazkirî bû, lê di rastiyê de ew yeka din dimeşand.
Ji ber vê yekê her kes piştî nûvekirinê divê hûn pê ewle bin ku hûn guhertoya nû bikar tînin!
exim --versionMe bi hev re rewşa wan a taybet safî kir.
Pêşkêşkar DirectAdmin û pakêta wê ya kevn da_exim (guhertoya kevn, bê xirav) bikar anî.
Di heman demê de, bi alîkariya rêveberê pakêta xwerû ya DirectAdmin-ê, bi rastî, guhertoyek nû ya Exim-ê, ku jixwe xeternak bû, hate saz kirin.
Di vê rewşa taybetî de, nûvekirina bi navgîniya xwerû jî arîkar kir.
Ji bîr nekin ku berî ceribandinên weha paşvekêşan çêbikin, û her weha pê ewle bin ku berî / piştî nûvekirinê hemî pêvajoyên Exim guhertoya kevn in. û di bîrê de ne "qeliqî".
Source: www.habr.com