Kollegen déi Exim Versiounen 4.87 ... 4.91 op hire Mailserver benotzen - dréngend op d'Versioun 4.92 aktualiséieren, nodeems se virdru Exim selwer gestoppt hunn fir Hacking duerch CVE-2019-10149 ze vermeiden.
E puer Millioune Server ronderëm d'Welt si potenziell vulnérabel, d'Schwachheet gëtt als kritesch bewäert (CVSS 3.0 Basisscore = 9.8/10). Ugräifer kënnen arbiträr Kommandoen op Ärem Server lafen, a ville Fäll vu Root.
Gitt w.e.g. sécher datt Dir eng fix Versioun benotzt (4.92) oder eng déi scho patchéiert gouf.
Oder patch déi existent, kuckt thread .
Update fir 6. Centos: cm. - fir centos 7 funktionnéiert et och, wann et nach net direkt vun epel ukomm ass.
UPD: Ubuntu ass betraff 18.04 an 18.10, en Update gouf fir si verëffentlecht. D'Versioune 16.04 an 19.04 sinn net beaflosst ausser wann personaliséiert Optiounen op hinnen installéiert goufen. Méi Detailer .
Elo gëtt de Problem deen do beschriwwe gëtt aktiv exploitéiert (vun engem Bot, viraussiichtlech), Ech hunn eng Infektioun op e puer Server gemierkt (laafen op 4.91).
Weider liesen ass relevant nëmme fir déi, déi et scho "kréien" hunn - Dir musst entweder alles op eng propper VPS mat frëscher Software transportéieren oder no enger Léisung sichen. Solle mir probéieren? Schreift wann iergendeen dës Malware iwwerwanne kann.
Wann Dir, als Exim Benotzer an dëst liest, nach ëmmer net aktualiséiert hutt (net sécher gemaach hutt datt 4.92 oder eng patched Versioun verfügbar ass), stopp w.e.g. a lafen fir ze aktualiséieren.
Fir déi, déi schonn do ukomm sinn, loosst eis weidergoen ...
UPS: a gëtt de richtege Rot:
Et kann eng grouss Varietéit vu Malware ginn. Andeems hien d'Medikament fir déi falsch Saach lancéiert an d'Schlaang läscht, gëtt de Benotzer net geheelt a weess vläicht net wat hien behandelt muss ginn.
D'Infektioun ass esou bemierkbar: [kthrotlds] lued de Prozessor; op engem schwaache VDS ass et 100%, op Serveren ass et méi schwaach awer opfälleg.
No der Infektioun läscht d'Malware Cron-Entréen, registréiert nëmme selwer do fir all 4 Minutten ze lafen, wärend d'Crontab Datei onverännerbar mécht. Crontab -e kann net Ännerungen späicheren, gëtt e Feeler.
Immutable ka geläscht ginn, zum Beispill, sou, a läscht dann d'Kommandozeil (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Als nächst, am crontab Editor (vim), läscht d'Linn a späichert:dd
:wq
Wéi och ëmmer, e puer vun den aktive Prozesser iwwerschreiwe erëm, ech fannen et eraus.
Zur selwechter Zäit hänken et eng Rëtsch aktive Wgets (oder Curls) un den Adressen vum Installateur Skript (kuckt hei ënnen), ech schloen se fir de Moment esou erof, awer se fänken erëm un:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ech hunn den Trojan Installer Skript hei fonnt (centos): /usr/local/bin/nptd ... Ech posten et net fir et ze vermeiden, awer wann iergendeen infizéiert ass a Shell-Skripte versteet, studéiert w.e.g. et méi suergfälteg.
Ech wäert derbäi wéi d'Informatioun aktualiséiert gëtt.
UPD 1: Dateien läschen (mat virleefeg chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root huet net gehollef, an och net de Service ze stoppen - ech hu missen crontab komplett fir elo räissen se eraus (umbenannt d'Bin Datei).
UPD 2: Den Trojaner Installateur louch heiansdo och op anere Plazen, Sich no Gréisst huet gehollef:
fannen / -Gréisst 19825c
UPD 3/XNUMX/XNUMX: Opgepasst weg! Zousätzlech fir selinux auszeschalten, fiert den Trojaner och säin eegent SSH Schlëssel an ${sshdir}/authorized_keys! An aktivéiert déi folgend Felder an /etc/ssh/sshd_config, wa se net schonn op JO gesat goufen:
PermitRootLogin jo
RSAA Authentifikatioun jo
PubkeyAuthentifikatioun jo
echo UsePAM jo
Passwuert Authentifikatioun jo
UPD 4: Fir elo ze resuméieren: Exim auszeschalten, cron (mat Wuerzelen), dréngend den Trojanesche Schlëssel vun ssh erofhuelen an d'sshd Config änneren, sshd nei starten! An et ass nach net kloer datt dëst hëlleft, awer ouni et gëtt et e Problem.
Ech hunn wichteg Informatioune vun de Kommentaren iwwer Patches / Updates op den Ufank vun der Notiz geplënnert, sou datt d'Lieser domat ufänken.
UPD 5/XNUMX/XNUMX: datt d'Malware Passwierder am WordPress geännert huet.
UPD 6/XNUMX/XNUMX: , loosst eis testen! No engem Neistart oder Ofschaltung schéngt d'Medikament ze verschwannen, awer fir de Moment ass dat op d'mannst.
Jiddereen deen eng stabil Léisung mécht (oder fënnt), schreift w.e.g., Dir wäert vill hëllefen.
UPD 7/XNUMX/XNUMX: schreift:
Wann Dir nach net gesot hutt datt de Virus erëmbelieft gëtt dank engem net geschéckte Bréif am Exim, wann Dir probéiert de Bréif nach eng Kéier ze schécken, ass et restauréiert, kuckt an /var/spool/exim4
Dir kënnt d'ganz Exim Schlaang esou läschen:
exipick -i | xargs exim -Mrm
Iwwerpréift d'Zuel vun den Entréen an der Schlaang:
exim -bpc
UPD 8: Wieder : FirstVDS huet hir Versioun vum Behandlungsskript ugebueden, loosst eis et testen!
UPD 9: Et gesäit aus wéi schafft, Merci fir de Skript!
Den Haapt Saach ass net ze vergiessen datt de Server scho kompromittéiert war an d'Ugräifer et fäerdeg bruecht hunn e puer méi ontypesch béis Saachen ze planzen (net am Dropper opgezielt).
Dofir ass et besser op e komplett installéierten Server (vds) ze plënneren, oder op d'mannst weider d'Thema ze iwwerwaachen - wann et eppes Neies ass, schreift hei an de Kommentarer, well selbstverständlech wäert net jiddereen op eng frësch Installatioun plënneren ...
UPD 10: Merci nach eng Kéier : et erënnert datt net nëmmen Serveren infizéiert sinn, awer och Raspberry Pi, an all Zorte vu virtuelle Maschinnen ... Also nodeems Dir d'Server gespäichert hutt, vergiesst net datt Dir Är Videokonsolen, Roboteren, etc.
UPD 11: Vun Wichteg Notiz fir manuell Healer:
(nodeems Dir eng oder aner Method benotzt fir dës Malware ze bekämpfen)
Dir musst definitiv nei starten - d'Malware setzt iergendwou an oppene Prozesser an deementspriechend an der Erënnerung, a schreift selwer eng nei fir all 30 Sekonnen ze cronen
UPD 12/XNUMX/XNUMX: Exim huet eng aner (?) Malware an der Schlaang a beréit Iech fir d'éischt Äre spezifesche Problem ze studéieren ier Dir mat der Behandlung ufänkt.
UPD 13/XNUMX/XNUMX: éischter, plënneren op eng propper System, an Transfert Fichieren extrem virsiichteg, well De Malware ass scho ëffentlech verfügbar a kann op aner, manner offensichtlech a méi geféierlech Manéier benotzt ginn.
UPD 14: eis berouegt datt intelligent Leit net vu Root lafen - eng méi Saach :
Och wann et net vun der Root funktionnéiert, geschitt Hacking ... Ech hunn debian jessie UPD: Streck op meng OrangePi, Exim leeft vun Debian-exim an ëmmer nach Hacking geschitt, verluer Krounen, etc.
UPD 15: Wann Dir op e proppere Server vun engem kompromittéierte plënnert, vergiesst net iwwer Hygiène, :
Wann Dir Daten transferéiert, oppassen net nëmmen op ausführbar oder Konfiguratiounsdateien, awer och op alles wat béiswëlleg Kommandoen enthalen kann (zum Beispill an MySQL kéint dëst CREATE TRIGGER oder CREATE EVENT sinn). Vergiesst och net iwwer .html, .js, .php, .py an aner ëffentlech Dateien (am Idealfall sollten dës Dateien, wéi aner Donnéeën, aus der lokaler oder aner vertrauter Späichere restauréiert ginn).
UPD 16/XNUMX/XNUMX: и : de System hat eng Versioun vum Exim an den Häfen installéiert, awer an der Realitéit war et eng aner.
Also jiddereen nom Update sollt Dir sécher sinn datt Dir déi nei Versioun benotzt!
exim --versionMir hunn hir spezifesch Situatioun zesummen zortéiert.
De Server huet DirectAdmin a säin alen da_exim Package benotzt (al Versioun, ouni Schwachstelle).
Zur selwechter Zäit, mam DirectAdmin säi Custombuild Package Manager, tatsächlech, gouf eng méi nei Versioun vun Exim installéiert, déi scho vulnérabel war.
An dëser besonnescher Situatioun huet d'Aktualiséierung iwwer Custombuild och gehollef.
Vergiesst net Backups virun esou Experimenter ze maachen, a gitt och sécher datt virun / nom Update all Exim Prozesser vun der aler Versioun sinn an net an der Erënnerung "verstoppt".
Source: will.com