Почта серверлеринде Exim 4.87...4.91 версияларын колдонгон кесиптештер - CVE-4.92-2019 аркылуу хакерликке жол бербөө үчүн мурда Eximдин өзүн токтотуп, 10149 версиясына чукул жаңыртуу.
Дүйнө жүзү боюнча бир нече миллион серверлер потенциалдуу аялуу болуп саналат, алсыздык критикалык деп бааланган (CVSS 3.0 базалык упай = 9.8/10). Чабуулчулар сервериңизде ыктыярдуу буйруктарды аткара алышат, көбүнчө тамырдан.
Сураныч, сиз туруктуу версияны (4.92) же жамаачыланган версияны колдонуп жатканыңызды текшериңиз.
Же учурдагыны жамоо, жипти караңыз .
үчүн жаңыртуу цент 6: см. - centos 7 үчүн, эгерде ал epelден түз келе элек болсо, ал дагы иштейт.
UPD: Ubuntu таасир этет 18.04 жана 18.10, алар үчүн жаңыртуу чыгарылды. 16.04 жана 19.04 версияларына ыңгайлаштырылган опциялар орнотулмайынча таасир этпейт. Кененирээк маалымат .
Азыр ал жерде сүрөттөлгөн көйгөй активдүү колдонулуп жатат (бот тарабынан, болжолу), мен кээ бир серверлерде инфекцияны байкадым (4.91де иштейт).
Андан ары окуу "аны алган" адамдар үчүн гана тиешелүү - сиз бардыгын жаңы программалык камсыздоо менен таза VPSге ташышыңыз керек же чечимди издешиңиз керек. Аракет кылабызбы? Кимдир бирөө бул зыяндуу программаны жеңе алса жазыңыз.
Эгер сиз Exim колдонуучусу болуп, аны окуп жаткан болсоңуз, дагы эле жаңырта элек болсоңуз (4.92 же жамаачыланган версия бар экенине ынанган жоксуз), сураныч, токтоп, жаңыртуу үчүн чуркаңыз.
Буга чейин баргандар үчүн, уланталы ...
UPS: жана туура кеңеш берет:
Кесепеттүү программалардын ар кандай болушу мүмкүн. Дарыны туура эмес ишке киргизүү жана кезекти жоюу менен колдонуучу айыкпай калат жана эмне үчүн дарылануу керектигин билбей калышы мүмкүн.
Инфекция төмөнкүдөй байкалат: [ktrotlds] процессорду жүктөйт; алсыз VDSде 100%, серверлерде алсызыраак, бирок байкалат.
Инфекциядан кийин кесепеттүү программа cron жазууларын жок кылат, ар бир 4 мүнөт сайын иштөө үчүн ошол жерде өзүн гана каттайт, ошол эле учурда crontab файлын өзгөрүлгүс кылат. Crontab -e өзгөртүүлөрдү сактай албайт, ката берет.
Immutable, мисалы, бул сыяктуу, жок кылынышы мүмкүн, андан кийин буйрук сабын жок кылуу (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Андан кийин, crontab редакторунда (vim) сапты жок кылып, сактаңыз:dd
:wq
Бирок, кээ бир активдүү процесстер кайра жазылып жатат, мен аны түшүнүп жатам.
Ошол эле учурда, орнотуучу скрипттин даректеринде илинип турган бир топ активдүү wgets (же тармал) бар (төмөндө караңыз), мен аларды азыр ушинтип кыйратып жатам, бирок алар кайра башташат:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Мен троян орнотуучу скриптин бул жерден таптым (centos): /usr/local/bin/nptd... Мен аны болтурбоо үчүн жарыялап жаткан жокмун, бирок кимдир бирөө вирус жуктуруп алган болсо жана кабык скрипттерин түшүнсө, аны жакшыраак изилдеп көрүңүз.
Маалымат жаңырган сайын кошумчалайм.
UPD 1: Файлдарды жок кылуу (алдын ала chattr -i менен) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root жардам берген жок жана кызматты токтоткон жок - мен керек болчу crontab толугу менен аны тытып салыңыз (бин файлынын атын өзгөртүү).
UPD 2: Троян орнотуучу кээде башка жерлерде да жатып калган, көлөмү боюнча издөө жардам берген:
find / -size 19825c
UPD 3/XNUMX/XNUMX: Эскертүү! селинуксту өчүрүүдөн тышкары, троян өзүнүн да кошот SSH ачкычы ${sshdir}/authorized_keys ичинде! Жана /etc/ssh/sshd_config ичиндеги төмөнкү талааларды активдештирет, эгерде алар буга чейин YES деп коюла элек болсо:
PermitRootLogin ооба
RSAAаныктыгын текшерүү ооба
PubkeyAuthentication ооба
echo UsePAM ооба
PasswordAuthentication ооба
UPD 4: Азырынча кыскача айтканда: Exim, cron (тамырлары менен) иштен чыгарыңыз, ssh'ден троян ачкычын тез арада алып салыңыз жана sshd конфигурациясын түзөтүңүз, sshdди кайра иштетиңиз! Бул жардам берери азырынча белгисиз, бирок ансыз көйгөй бар.
Окурмандар андан башташы үчүн, тактар/жаңыртуулар тууралуу комментарийлерден маанилүү маалыматты эскертменин башына жылдырдым.
UPD 5/XNUMX/XNUMX: зыяндуу программа WordPressтин сырсөздөрүн өзгөрткөн.
UPD 6/XNUMX/XNUMX: , келгиле сынап көрөлү! Өчүрүлгөндөн же өчүрүлгөндөн кийин, дары жок болуп жаткандай сезилет, бирок азыр жок дегенде ушуну айтууга болот.
Ким стабилдүү чечим чыгарса (же тапса) жазыңыз, көпкө жардам бересиз.
UPD 7/XNUMX/XNUMX: Ал мындай деп жазат:
Эгер сиз Eximде жөнөтүлбөгөн каттын аркасында вирус тирилет деп айта элек болсоңуз, катты кайра жөнөтүүгө аракет кылганыңызда, ал калыбына келтирилген, /var/spool/exim4 дарегине караңыз.
Сиз бүт Exim кезегин төмөнкүдөй тазалай аласыз:
exipick -i | xargs exim -Mrm
Кезектеги жазуулардын санын текшерүү:
exim -bpc
UPD 8: Дагы : FirstVDS дарылоо сценарийинин версиясын сунуштады, келгиле, аны сынап көрөлү!
UPD 9: Бул окшойт иштеп, Рахмат сага сценарий үчүн!
Эң негизгиси, сервер буга чейин бузулганын жана чабуулчулар дагы бир нече типтүү жагымсыз нерселерди (тамчылаткычта көрсөтүлгөн эмес) отургузууга жетишкенин унутпашыбыз керек.
Ошондуктан, толугу менен орнотулган серверге (vds) өтүү жакшы, же жок дегенде теманы көзөмөлдөөнү улантуу - эгер жаңы нерсе болсо, бул жерде комментарийге жазыңыз, анткени Албетте, баары эле жаңы орнотууга көчпөйт ...
UPD 10: Дагы бир жолу рахмат : бул серверлер гана эмес, вируска чалдыкканын эскертет Raspberry Pi, жана бардык виртуалдык машиналар... Андыктан серверлерди сактагандан кийин видео консолдоруңузду, роботторуңузду ж.б. сактоону унутпаңыз.
UPD 11: From Кол менен дарылоочулар үчүн маанилүү эскертүү:
(бул зыяндуу программа менен күрөшүүнүн тигил же бул ыкмасын колдонгондон кийин)
Сиз сөзсүз түрдө кайра жүктөшүңүз керек - кесепеттүү программа ачык процесстерде жана ошого жараша эстутумда бир жерде отурат жана ар бир 30 секундада жаңысын жазат.
UPD 12/XNUMX/XNUMX: Exim кезекте башка(?) кесепеттүү программага ээ жана дарылоону баштоодон мурун өзгөчө көйгөйүңүздү изилдеп чыгууну сунуштайт.
UPD 13/XNUMX/XNUMX: тескерисинче, таза системага көчүп, жана өтө кылдаттык менен файлдарды өткөрүп берүү, анткени Кесепеттүү программа мурунтан эле жалпыга жеткиликтүү жана башка, анча айкын эмес жана кооптуураак жолдор менен колдонулушу мүмкүн.
UPD 14: акылдуу адамдар түп-тамыры менен иштебейт деп өзүбүзгө ишендирүү - дагы бир нерсе :
Ал тамырдан иштебесе да, хакерлик пайда болот ... Менде debian jessie UPD бар: stretch on my OrangePi, Exim Debian-eximден чуркап жатат жана дагы эле хакерлик болду, жоголгон таажылар ж.б.у.с.
UPD 15: бузулган серверден таза серверге өтүүдө гигиенаны унутпаңыз, :
Берилиштерди өткөрүп жатканда, аткарылуучу же конфигурация файлдарына гана эмес, ошондой эле зыяндуу буйруктарды камтышы мүмкүн болгон бардык нерселерге көңүл буруңуз (мисалы, MySQLде бул CREATE TRIGGER же CREATE EVENT болушу мүмкүн). Ошондой эле, .html, .js, .php, .py жана башка жалпы файлдар жөнүндө унутпаңыз (идеалында, бул файлдар, башка маалыматтар сыяктуу, жергиликтүү же башка ишенимдүү сактагычтан калыбына келтирилиши керек).
UPD 16/XNUMX/XNUMX: и : системанын портторунда Eximдин бир версиясы орнотулган, бирок чындыгында ал башкасын иштетип жаткан.
Ошентип, баары жаңыртуудан кийин ынануу керек жаңы версиясын колдонуп жатасыз!
exim --versionБиз алардын конкреттүү абалын чогуу чечтик.
Сервер DirectAdmin жана анын эски da_exim пакетин колдонгон (эски версия, алсыздыгы жок).
Ошол эле учурда, DirectAdminдин custombuild пакет менеджеринин жардамы менен, чындыгында, Eximдин жаңыраак версиясы орнотулган, ал буга чейин аялуу болгон.
Бул өзгөчө кырдаалда, custombuild аркылуу жаңыртуу да жардам берди.
Мындай эксперименттерге чейин резервдик көчүрмөлөрдү жасоону унутпаңыз, ошондой эле жаңыртуудан мурун/кийин бардык Exim процесстери эски версияда экенин текшериңиз. жана эс тутумда "жабылуу" эмес.
Source: www.habr.com