Collegi qui Exim versionibus utuntur 4.87...4.91 in servientibus mail suis - instanter renovatio versionis 4.92, prius Exim se destiterunt ut per CVE-2019-10149 caesim vitare.
Plures miliones servientes circa mundum potentialiter vulnerabiles sunt, vulnerabilitas critica aestimatur (CVSS 3.0 base score = 9.8/10). Impugnatores arbitraria mandata tuo servo currere possunt, multis in casibus a radice.
Quaeso fac ut certa versione utaris (4.92) vel ea quae iam perantiqua sunt.
Aut repeciare exsistens, vide filo .
Renova in centos 6: cm. β centos 7 etiam facit, si non directe ex epel tamen pervenit.
UPD: Ubuntu est affectus 18.04 et 18.10renovatio eis dimissa est. Versiones 16.04 et 19.04 non afficiuntur nisi optiones consuetudinum in eis installatae sunt. More details .
Nunc problema descriptum est actu abutitur (per bot, scilicet), tabes in quibusdam ministris animadverti (curritur in 4.91).
Praeterea lectio ad eos solos pertinet qui iam "id obtinuit" - necesse est ut vel omnia ad mundum VPS recenti programmate transvehantur vel solutionem quaeras. Experiamur? Scribere si quis hoc malware superare potest.
Si tu, cum user Exim et hoc legens, adhuc non renovasti (non firmasti 4.92 vel versionem coagmentatam praesto esse), desine quaeso et currendi ad renovationem.
Pro his qui iam pervenerunt, pergamus...
UPD: et recta consilia dat;
Magna malware varietas potest esse. Medicinam rei perversae deducendo et purgando queue, user non sanabitur, ne quid tractari oporteat.
Infectio notabilis est talis: processus onerat; in debili VDS id est 100%, ministris debilior est sed notabilis.
Post infectio, malware viscus cron delet, perscriptum solum se ibi ad singulas 4 minutas currere, dum lima crontab immutabilem facit. Crontab -e* mutationes non possunt salvare, dat errorem.
Immutabile amoveri potest, exempli gratia, hoc, et dele lineam mandatum (1.5kb);
chattr -i /var/spool/cron/root
crontab -e
Deinde in crontab editore dele lineam et serva;dd
:wq
Sed nonnullae processus activae iterum scribendae sunt, eam depingo.
Eodem tempore fasciculum actuum (or cincinnorum) pendentium inscriptionum e scripturae installantis (vide infra), hae nunc pulso eas, sed rursus incipiunt:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Troicum scriptorem hic institutorem inveni (centos): /usr/local/bin/nptd... Id cavere non dispono, sed si quis infecta est et scripta testam intellegit, diligentius illud studeas.
Addam notitia renovata est.
UPD 1: files deletis (cum praeliminaribus chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root non adiuvit nec intermisit servitium - debebam crontab omnino pro nunc divellere (rename bin fasciculus).
UPD 2: Troianus installator interdum etiam in aliis locis iacebat, quaerendo adiuvari magnitudinem;
invenio / -size 19825c
UPD 3/XNUMX/XNUMX: Cautus esto Adde quod inactivare selinux, et Troius addit suum SSH key in ${sshdir}/authorised_keys! Et sequentes agros operatur in /etc/ssh/sshd_config, si nondum ad VERO apponuntur:
etiam PermitRootLogin
RSAAuthentication sic;
etiam PubkeyAuthentication
resonare UsePAM sic;
PasswordAuthentication sic;
UPD 4: Summatim nunc: disable Exim, cron (radicibus) instanter clavem Troianam e ssh remove et sshd config, sileo sshd! Et hoc iuvabit nondum liquet, sed sine ea est quaestio.
Movi informationes praecipuas e commentationibus de inaequalitatibus/renovationibus ad initium notae, ut lectores ab ea incipiant.
UPD 5/XNUMX/XNUMX: Tesserae malware mutavit in WordPress.
UPD 6/XNUMX/XNUMX: experiamur! Post reboot vel shutdown medicina evanescere videtur, sed nunc saltem est.
Quicumque solutionem stabilem fecerit (vel invenit) scribe, sis, multos adiuvabis.
UPD 7/XNUMX/XNUMX: scribit:
Si antea non dixisti virus resurrectum esse ob litteras in Exim non tacitae, cum epistulam iterum mittere coneris, restituitur, vide in /var/spool/exim4
Exim queue totam sic purgare potes:
exipic -i | xargs exim -Mrm
Reprehendo numerus entries in queue:
exim -bpc *
UPD VIII, Iterum : FirstVDS tractationis scriptionem suam versionem offerebant, eamus experiamur!
UPD IX: Is vultus sicut opus, Gratias tibi pro script!
Praecipua res est oblivisci non posse servom iam suspectum esse et oppugnatores posse aliqua bona atypica (non in dropper recensita).
Melius est ergo movere ad servitorem omnino constitutum (vds), vel saltem pergere ad thema monitor - si quid novi est, scribe in commentaria hic, quia nimirum non omnes ad novam institutionem movebunt ...
UPD X: Gratias iterum : admonet non solum servientes infici, sed etiam RUBUS IDAEUS Piet omnibus machinis virtualis... Ita, servatis ministris, non obliviscuntur servare tuum solatium, robotarum, etc.
UPD 11: Ex Maximus nota ad sanatores manual;
(Post usura vel alium modum pugnandi hoc malware)
Certo opus est ut reboot - malware alicubi in processibus apertis sedet ac proinde in memoriam et novam se scribens in singulis 30 secundis cronicis
UPD 12/XNUMX/XNUMX: Exim alium malware in sua queue habet et admonet ut primum quaestionem tuam specificae studeas antequam curatio incipias.
UPD 13/XNUMX/XNUMX: potius ad systema mundum move et lima perquam diligenter transfer, quia Malware iam publice praesto est et in aliis, minus manifestis et periculosioribus modis adhiberi potest.
UPD 14: consolantes nos homines callidi homines ab radice non currunt - unum plus :
Etiamsi ex radice non operatur, hacking occurrit... Habeo debian jessie UPD: extende in meum OrangePi, Exim a Debian-exim currit et adhuc caesim accidit, coronas amissas, etc.
UPD 15: quando ab aedilis puro servo movens, hygiene noli oblivisci; :
Cum notitias transferentes, attendunt non solum ad documenta exsecutabilia vel de configuratione, sed etiam ad omnia quae malitiosa mandata contineant (exempli gratia, in MySQL hoc felis creare vel eventum creare potest). Etiam, noli oblivisci de .html, .js, .php, .py aliisque tabulariis publicis (idealiter haec fascicula, sicut aliae notitiae, ex locali vel aliis creditis repositione restitui debent).
UPD 16/XNUMX/XNUMX: ΠΈ systema habebat unam versionem Exim in portubus installatam, re vera alia currit.
Ita omnes post renovatio fac ut nova versione uteris!
exim --versionNos simul peculiarem eorum condicionem digessi.
Servo DirectAdmin usus est et involucrum antiquum da_exim (vetus litera, sine vulnerability).
Eodem tempore, ope moderatoris sarcinae DirectAdmin custombuild, re vera recentior versio Exim tunc inauguratus est, quae iam vulnerabilis erat.
In hoc particulari adiunctis, adaequationis per consuetudines etiam adiuvatur.
Noli oblivisci tergum ante huiusmodi experimenta facere, et etiam fac ut ante / post renovationem omnes processus Exim veteris versionis sint non autem adhaesit in memoria.
Source: www.habr.com