Почта серверлеринде Exim 4.87...4.91 версияларын колдонгон кесиптештер - CVE-4.92-2019 аркылуу хакерликке жол бербөө үчүн мурда Eximдин өзүн токтотуп, 10149 версиясына чукул жаңыртуу.
Дүйнө жүзү боюнча бир нече миллион серверлер потенциалдуу аялуу болуп саналат, алсыздык критикалык деп бааланган (CVSS 3.0 базалык упай = 9.8/10). Чабуулчулар сервериңизде ыктыярдуу буйруктарды аткара алышат, көбүнчө тамырдан.
Сураныч, сиз туруктуу версияны (4.92) же жамаачыланган версияны колдонуп жатканыңызды текшериңиз.
Же учурдагыны жамоо, жипти караңыз
үчүн жаңыртуу цент 6: см.
UPD: Ubuntu таасир этет 18.04 жана 18.10, алар үчүн жаңыртуу чыгарылды. 16.04 жана 19.04 версияларына ыңгайлаштырылган опциялар орнотулмайынча таасир этпейт. Кененирээк маалымат
Азыр ал жерде сүрөттөлгөн көйгөй активдүү колдонулуп жатат (бот тарабынан, болжолу), мен кээ бир серверлерде инфекцияны байкадым (4.91де иштейт).
Андан ары окуу "аны алган" адамдар үчүн гана тиешелүү - сиз бардыгын жаңы программалык камсыздоо менен таза VPSге ташышыңыз керек же чечимди издешиңиз керек. Аракет кылабызбы? Кимдир бирөө бул зыяндуу программаны жеңе алса жазыңыз.
Эгер сиз Exim колдонуучусу болуп, аны окуп жаткан болсоңуз, дагы эле жаңырта элек болсоңуз (4.92 же жамаачыланган версия бар экенине ынанган жоксуз), сураныч, токтоп, жаңыртуу үчүн чуркаңыз.
Буга чейин баргандар үчүн, уланталы ...
UPS:
Кесепеттүү программалардын ар кандай болушу мүмкүн. Дарыны туура эмес ишке киргизүү жана кезекти жоюу менен колдонуучу айыкпай калат жана эмне үчүн дарылануу керектигин билбей калышы мүмкүн.
Инфекция төмөнкүдөй байкалат: [ktrotlds] процессорду жүктөйт; алсыз VDSде 100%, серверлерде алсызыраак, бирок байкалат.
Инфекциядан кийин кесепеттүү программа cron жазууларын жок кылат, ар бир 4 мүнөт сайын иштөө үчүн ошол жерде өзүн гана каттайт, ошол эле учурда crontab файлын өзгөрүлгүс кылат. Crontab -e өзгөртүүлөрдү сактай албайт, ката берет.
Immutable, мисалы, бул сыяктуу, жок кылынышы мүмкүн, андан кийин буйрук сабын жок кылуу (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Андан кийин, crontab редакторунда (vim) сапты жок кылып, сактаңыз:dd
:wq
Бирок, кээ бир активдүү процесстер кайра жазылып жатат, мен аны түшүнүп жатам.
Ошол эле учурда, орнотуучу скрипттин даректеринде илинип турган бир топ активдүү wgets (же тармал) бар (төмөндө караңыз), мен аларды азыр ушинтип кыйратып жатам, бирок алар кайра башташат:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Мен троян орнотуучу скриптин бул жерден таптым (centos): /usr/local/bin/nptd... Мен аны болтурбоо үчүн жарыялап жаткан жокмун, бирок кимдир бирөө вирус жуктуруп алган болсо жана кабык скрипттерин түшүнсө, аны жакшыраак изилдеп көрүңүз.
Маалымат жаңырган сайын кошумчалайм.
UPD 1: Файлдарды жок кылуу (алдын ала chattr -i менен) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root жардам берген жок жана кызматты токтоткон жок - мен керек болчу crontab толугу менен аны тытып салыңыз (бин файлынын атын өзгөртүү).
UPD 2: Троян орнотуучу кээде башка жерлерде да жатып калган, көлөмү боюнча издөө жардам берген:
find / -size 19825c
UPD 3/XNUMX/XNUMX: Эскертүү! селинуксту өчүрүүдөн тышкары, троян өзүнүн да кошот SSH ачкычы ${sshdir}/authorized_keys ичинде! Жана /etc/ssh/sshd_config ичиндеги төмөнкү талааларды активдештирет, эгерде алар буга чейин YES деп коюла элек болсо:
PermitRootLogin ооба
RSAAаныктыгын текшерүү ооба
PubkeyAuthentication ооба
echo UsePAM ооба
PasswordAuthentication ооба
UPD 4: Азырынча кыскача айтканда: Exim, cron (тамырлары менен) иштен чыгарыңыз, ssh'ден троян ачкычын тез арада алып салыңыз жана sshd конфигурациясын түзөтүңүз, sshdди кайра иштетиңиз! Бул жардам берери азырынча белгисиз, бирок ансыз көйгөй бар.
Окурмандар андан башташы үчүн, тактар/жаңыртуулар тууралуу комментарийлерден маанилүү маалыматты эскертменин башына жылдырдым.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Ким стабилдүү чечим чыгарса (же тапса) жазыңыз, көпкө жардам бересиз.
UPD 7/XNUMX/XNUMX:
Эгер сиз Eximде жөнөтүлбөгөн каттын аркасында вирус тирилет деп айта элек болсоңуз, катты кайра жөнөтүүгө аракет кылганыңызда, ал калыбына келтирилген, /var/spool/exim4 дарегине караңыз.
Сиз бүт Exim кезегин төмөнкүдөй тазалай аласыз:
exipick -i | xargs exim -Mrm
Кезектеги жазуулардын санын текшерүү:
exim -bpc
UPD 8: Дагы
UPD 9: Бул окшойт иштеп, Рахмат сага
Эң негизгиси, сервер буга чейин бузулганын жана чабуулчулар дагы бир нече типтүү жагымсыз нерселерди (тамчылаткычта көрсөтүлгөн эмес) отургузууга жетишкенин унутпашыбыз керек.
Ошондуктан, толугу менен орнотулган серверге (vds) өтүү жакшы, же жок дегенде теманы көзөмөлдөөнү улантуу - эгер жаңы нерсе болсо, бул жерде комментарийге жазыңыз, анткени Албетте, баары эле жаңы орнотууга көчпөйт ...
UPD 10: Дагы бир жолу рахмат
UPD 11: From
(бул зыяндуу программа менен күрөшүүнүн тигил же бул ыкмасын колдонгондон кийин)
Сиз сөзсүз түрдө кайра жүктөшүңүз керек - кесепеттүү программа ачык процесстерде жана ошого жараша эстутумда бир жерде отурат жана ар бир 30 секундада жаңысын жазат.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: акылдуу адамдар түп-тамыры менен иштебейт деп өзүбүзгө ишендирүү - дагы бир нерсе
Ал тамырдан иштебесе да, хакерлик пайда болот ... Менде debian jessie UPD бар: stretch on my OrangePi, Exim Debian-eximден чуркап жатат жана дагы эле хакерлик болду, жоголгон таажылар ж.б.у.с.
UPD 15: бузулган серверден таза серверге өтүүдө гигиенаны унутпаңыз,
Берилиштерди өткөрүп жатканда, аткарылуучу же конфигурация файлдарына гана эмес, ошондой эле зыяндуу буйруктарды камтышы мүмкүн болгон бардык нерселерге көңүл буруңуз (мисалы, MySQLде бул CREATE TRIGGER же CREATE EVENT болушу мүмкүн). Ошондой эле, .html, .js, .php, .py жана башка жалпы файлдар жөнүндө унутпаңыз (идеалында, бул файлдар, башка маалыматтар сыяктуу, жергиликтүү же башка ишенимдүү сактагычтан калыбына келтирилиши керек).
UPD 16/XNUMX/XNUMX:
Ошентип, баары жаңыртуудан кийин ынануу керек жаңы версиясын колдонуп жатасыз!
exim --version
Биз алардын конкреттүү абалын чогуу чечтик.
Сервер DirectAdmin жана анын эски da_exim пакетин колдонгон (эски версия, алсыздыгы жок).
Ошол эле учурда, DirectAdminдин custombuild пакет менеджеринин жардамы менен, чындыгында, Eximдин жаңыраак версиясы орнотулган, ал буга чейин аялуу болгон.
Бул өзгөчө кырдаалда, custombuild аркылуу жаңыртуу да жардам берди.
Мындай эксперименттерге чейин резервдик көчүрмөлөрдү жасоону унутпаңыз, ошондой эле жаңыртуудан мурун/кийин бардык Exim процесстери эски версияда экенин текшериңиз.
Source: www.habr.com