ProHoster > Blogs > Administrācija > Steidzami atjauniniet Exim uz 4.92 - ir aktīva infekcija

Steidzami atjauniniet Exim uz 4.92 - ir aktīva infekcija

Kolēģi, kuri savos pasta serveros izmanto Exim versijas 4.87...4.91 - steidzami atjauniniet uz versiju 4.92, vispirms apturot paÅ”u Exim, lai izvairÄ«tos no CVE-2019-10149 uzlauÅ”anas.

Vairāki miljoni serveru visā pasaulē ir potenciāli neaizsargāti, ievainojamība ir novērtēta kā kritiska (CVSS 3.0 bāzes rādītājs = 9.8/10). Uzbrucēji var palaist patvaļīgas komandas jūsu serverī, daudzos gadījumos no saknes.

Lūdzu, pārliecinieties, vai izmantojat fiksētu versiju (4.92) vai tādu, kas jau ir labota.
Vai aizlāpiet esoŔo, skatiet pavedienu nevainojams komentārs.

Atjauninājums par centos 6: cm. Teodora komentārs ā€” uz centos 7 arÄ« strādā, ja vēl nav atnācis tieÅ”i no epel.

UPD: tiek ietekmēts Ubuntu 18.04 un 18.10, tiem ir izlaists atjauninājums. Versijas 16.04 un 19.04 netiek ietekmētas, ja vien tajās nav instalētas pielāgotas opcijas. Skatīt vairāk viņu oficiālajā tīmekļa vietnē.

Informācija par problēmu vietnē Opennet
Informācija Exim tīmekļa vietnē

Tagad tur aprakstītā problēma tiek aktīvi izmantota (domājams, ka robots), es pamanīju infekciju dažos serveros (darbojas ar 4.91).

Tālāka lasÄ«Å”ana ir aktuāla tikai tiem, kas to jau ir ā€œsaņēmuÅ”iā€ - vai nu jātransportē viss uz tÄ«ru VPS ar svaigu programmatÅ«ru, vai jāmeklē risinājums. Pamēģināsim? Rakstiet, ja kāds var pārvarēt Å”o ļaunprogrammatÅ«ru.

Ja jūs, būdams Exim lietotājs un lasāt Ŕo, joprojām neesat atjauninājis (neesat pārliecinājies, ka ir pieejama 4.92 vai patched versija), lūdzu, apstājieties un palaidiet, lai atjauninātu.

Tiem, kas tur jau ir tikuŔi, turpināsim...

UPD: supersmile2009 atrada cita veida ļaunprātīgu programmatūru un sniedz pareizo padomu:

Var būt ļoti dažādas ļaunprātīgas programmatūras. Ielaižot zāles par nepareizu lietu un notīrot rindu, lietotājs netiks izārstēts un var nezināt, no kā viņam jāārstējas.

Infekcija ir pamanāma Ŕādi: [kthrotlds] ielādē procesoru; uz vāja VDS ir 100%, serveros vājāks, bet pamanāms.

Pēc inficÄ“Å”anās ļaunprogrammatÅ«ra izdzÄ“Å” cron ierakstus, reÄ£istrējot tur tikai sevi, lai palaistu ik pēc 4 minÅ«tēm, vienlaikus padarot crontab failu nemainÄ«gu. Crontab -e nevar saglabāt izmaiņas, parāda kļūdu.

Immutable var noņemt, piemēram, Ŕādi, un pēc tam dzēst komandrindu (1.5 kb):

chattr -i /var/spool/cron/root
crontab -e

Pēc tam crontab redaktorā (vim) izdzēsiet rindu un saglabājiet:dd
:wq

Tomēr daži aktīvie procesi atkal tiek pārrakstīti, es to izdomāju.

Tajā paŔā laikā uz instalÄ“Å”anas skripta adresēm karājas virkne aktÄ«vu wget (vai cirtas) (skatiet zemāk), es tos pagaidām notriecu Ŕādi, bet tie sākas no jauna:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

Trojas instalÄ“Å”anas skriptu atradu Å”eit (centos): /usr/local/bin/nptd... Es to nepublicēju, lai no tā izvairÄ«tos, bet, ja kāds ir inficēts un saprot čaulas skriptus, lÅ«dzu, izpētiet to uzmanÄ«gāk.

PievienoŔu, tiklīdz informācija tiks papildināta.

UPD 1: failu dzÄ“Å”ana (ar provizorisku chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root nepalÄ«dzēja, kā arÄ« pakalpojuma apturÄ“Å”ana. crontab pagaidām pilnÄ«bā izplÄ“Å” to (pārdēvējiet bin failu).

UPD 2: Trojas zirgu instalētājs dažkārt gulēja arÄ« citās vietās, un meklÄ“Å”ana pēc izmēra palÄ«dzēja:
atrast / -izmērs 19825c

UPD 3: UzmanÄ«bu! Papildus selinux atspējoÅ”anai Trojas zirgs pievieno arÄ« savu SSH atslēga mapē ${sshdir}/authorized_keys! Un aktivizē Ŕādus laukus mapē /etc/ssh/sshd_config, ja tie vēl nav iestatÄ«ti uz YES:
PermitRootLogin jā
RSAA autentifikācija jā
PubkeyAuthentication jā
echo UsePAM jā
Paroles autentifikācija jā

UPD 4: Pagaidām apkopojot: atspējojiet Exim, cron (ar saknēm), steidzami noņemiet Trojas atslēgu no ssh un rediģējiet sshd konfigurāciju, restartējiet sshd! Un vēl nav skaidrs, vai tas palīdzēs, bet bez tā pastāv problēma.

Svarīgu informāciju no komentāriem par ielāpiem/atjauninājumiem pārvietoju uz piezīmes sākumu, lai lasītāji sāktu ar to.

UPD 5: OtherDenny raksta ka ļaunprogrammatÅ«ra mainÄ«ja paroles pakalpojumā WordPress.

UPD 6: Paulmans sagatavoja pagaidu ārstÄ“Å”anu, pārbaudÄ«sim! Å Ä·iet, ka pēc atsāknÄ“Å”anas vai izslēgÅ”anas zāles pazÅ«d, bet pagaidām tas ir viss.

Ikviens, kurÅ” izstrādā (vai atrod) stabilu risinājumu, lÅ«dzu, rakstiet, jÅ«s palÄ«dzēsiet daudziem.

UPD 7: Lietotāja clsv raksta:

Ja vēl neesat teicis, ka vÄ«russ ir augŔāmcēlies, pateicoties nenosÅ«tÄ«tai vēstulei Exim, mēģinot nosÅ«tÄ«t vēstuli vēlreiz, tā tiek atjaunota, skatieties /var/spool/exim4

Jūs varat notīrīt visu Exim rindu Ŕādi:
exipick -i | xargs exim -Mrm
Ierakstu skaita pārbaude rindā:
exim -bpc

UPD 8: Atkal paldies par informāciju AnotherDenny: FirstVDS piedāvāja savu ārstÄ“Å”anas skripta versiju, pārbaudÄ«sim to!

UPD 9: izskatās darbojas, Paldies Kirils par scenāriju!

Galvenais neaizmirst, ka serveris jau bija uzlauzts un uzbrucēji varēja paspēt iestādÄ«t vēl kādas netipiskākas ŔķebinoÅ”as lietas (pilinātājā nav norādÄ«tas).

Tāpēc labāk pāriet uz pilnÄ«bā instalētu serveri (vds), vai vismaz turpināt monitorēt tēmu - ja ir kas jauns, rakstiet Å”eit komentāros, jo acÄ«mredzot ne visi pāries uz jaunu instalāciju...

UPD 10: Paldies vēlreiz clsv: tas atgādina, ka ir inficēti ne tikai serveri, bet arÄ« Raspberry Pi, un visādas virtuālās maŔīnas... Tāpēc pēc serveru saglabāŔanas neaizmirstiet saglabāt video konsoles, robotus utt.

UPD 11: No dziedināŔanas scenārija autors Svarīga piezīme manuālajiem dziedniekiem:
(pēc vienas vai citas metodes izmantoÅ”anas cīņai pret Å”o ļaunprātÄ«go programmatÅ«ru)

Jums noteikti ir jāpārstartē - ļaunprogrammatūra atrodas kaut kur atvērtos procesos un attiecīgi atmiņā un ieraksta sev jaunu, lai cron ik pēc 30 sekundēm

UPD 12: supersmile2009 atrasts Exim rindā ir vēl viena(?) ļaunprogrammatÅ«ra, un pirms ārstÄ“Å”anas uzsākÅ”anas ieteicams vispirms izpētÄ«t savu konkrēto problēmu.

UPD 13: lorks konsultē drÄ«zāk pārejiet uz tÄ«ru sistēmu un ļoti uzmanÄ«gi pārsÅ«tiet failus, jo Ä»aunprātÄ«ga programmatÅ«ra jau ir publiski pieejama, un to var izmantot citos, mazāk acÄ«mredzamos un bÄ«stamākos veidos.

UPD 14: pārliecināt sevi, ka gudri cilvēki nebēg no saknes ā€” vēl viena lieta steidzama ziņa no clsv:

Pat ja tas nedarbojas no saknes, notiek uzlauÅ”ana... Man ir debian jessie UPD: stiept uz mana OrangePi, Exim darbojas no Debian-exim un joprojām notiek uzlauÅ”ana, pazaudēti kroņi utt.

UPD 15: pārejot uz tīru serveri no apdraudēta, neaizmirstiet par higiēnu, noderīgs atgādinājums no w0den:

PārsÅ«tot datus, pievērsiet uzmanÄ«bu ne tikai izpildāmajiem vai konfigurācijas failiem, bet arÄ« visam, kas var saturēt ļaunprātÄ«gas komandas (piemēram, MySQL tas varētu bÅ«t CREATE TRIGGER vai CREATE EVENT). Tāpat neaizmirstiet par .html, .js, .php, .py un citiem publiskiem failiem (ideālā gadÄ«jumā Å”ie faili, tāpat kā citi dati, bÅ«tu jāatjauno no vietējās vai citas uzticamas krātuves).

UPD 16: daykkin Šø mežonis_es radās cita problēma: sistēmai portos bija instalēta viena Exim versija, bet patiesÄ«bā tā darbojās ar citu.

Tātad visi pēc atjaunināŔanas jums jāpārliecinās ka jÅ«s izmantojat jauno versiju!

exim --version

Mēs kopīgi noskaidrojām viņu konkrēto situāciju.

Serveris izmantoja DirectAdmin un tās veco da_exim pakotni (vecā versija, bez ievainojamības).

Tajā paŔā laikā ar DirectAdmin custombuild pakotņu pārvaldnieka palÄ«dzÄ«bu faktiski tika instalēta jaunāka Exim versija, kas jau bija ievainojama.

Å ajā konkrētajā situācijā palÄ«dzēja arÄ« atjaunināŔana, izmantojot custombuild.

Pirms Ŕādiem eksperimentiem neaizmirstiet izveidot dublējumus, kā arÄ« pārliecinieties, ka pirms/pēc atjaunināŔanas visi Exim procesi ir no vecās versijas tika apturēti un nav ā€œiestrēdzisā€ atmiņā.

Avots: www.habr.com

Pievieno komentāru