KolÄÄ£i, kuri savos pasta serveros izmanto Exim versijas 4.87...4.91 - steidzami atjauniniet uz versiju 4.92, vispirms apturot paÅ”u Exim, lai izvairÄ«tos no CVE-2019-10149 uzlauÅ”anas.
VairÄki miljoni serveru visÄ pasaulÄ ir potenciÄli neaizsargÄti, ievainojamÄ«ba ir novÄrtÄta kÄ kritiska (CVSS 3.0 bÄzes rÄdÄ«tÄjs = 9.8/10). UzbrucÄji var palaist patvaļīgas komandas jÅ«su serverÄ«, daudzos gadÄ«jumos no saknes.
LÅ«dzu, pÄrliecinieties, vai izmantojat fiksÄtu versiju (4.92) vai tÄdu, kas jau ir labota.
Vai aizlÄpiet esoÅ”o, skatiet pavedienu
AtjauninÄjums par centos 6: cm.
UPD: tiek ietekmÄts Ubuntu 18.04 un 18.10, tiem ir izlaists atjauninÄjums. Versijas 16.04 un 19.04 netiek ietekmÄtas, ja vien tajÄs nav instalÄtas pielÄgotas opcijas. SkatÄ«t vairÄk
Tagad tur aprakstÄ«tÄ problÄma tiek aktÄ«vi izmantota (domÄjams, ka robots), es pamanÄ«ju infekciju dažos serveros (darbojas ar 4.91).
TÄlÄka lasÄ«Å”ana ir aktuÄla tikai tiem, kas to jau ir āsaÅÄmuÅ”iā - vai nu jÄtransportÄ viss uz tÄ«ru VPS ar svaigu programmatÅ«ru, vai jÄmeklÄ risinÄjums. PamÄÄ£inÄsim? Rakstiet, ja kÄds var pÄrvarÄt Å”o ļaunprogrammatÅ«ru.
Ja jÅ«s, bÅ«dams Exim lietotÄjs un lasÄt Å”o, joprojÄm neesat atjauninÄjis (neesat pÄrliecinÄjies, ka ir pieejama 4.92 vai patched versija), lÅ«dzu, apstÄjieties un palaidiet, lai atjauninÄtu.
Tiem, kas tur jau ir tikuÅ”i, turpinÄsim...
UPD:
Var bÅ«t ļoti dažÄdas ļaunprÄtÄ«gas programmatÅ«ras. Ielaižot zÄles par nepareizu lietu un notÄ«rot rindu, lietotÄjs netiks izÄrstÄts un var nezinÄt, no kÄ viÅam jÄÄrstÄjas.
Infekcija ir pamanÄma Å”Ädi: [kthrotlds] ielÄdÄ procesoru; uz vÄja VDS ir 100%, serveros vÄjÄks, bet pamanÄms.
PÄc inficÄÅ”anÄs ļaunprogrammatÅ«ra izdzÄÅ” cron ierakstus, reÄ£istrÄjot tur tikai sevi, lai palaistu ik pÄc 4 minÅ«tÄm, vienlaikus padarot crontab failu nemainÄ«gu. Crontab -e nevar saglabÄt izmaiÅas, parÄda kļūdu.
Immutable var noÅemt, piemÄram, Å”Ädi, un pÄc tam dzÄst komandrindu (1.5 kb):
chattr -i /var/spool/cron/root
crontab -e
PÄc tam crontab redaktorÄ (vim) izdzÄsiet rindu un saglabÄjiet:dd
:wq
TomÄr daži aktÄ«vie procesi atkal tiek pÄrrakstÄ«ti, es to izdomÄju.
TajÄ paÅ”Ä laikÄ uz instalÄÅ”anas skripta adresÄm karÄjas virkne aktÄ«vu wget (vai cirtas) (skatiet zemÄk), es tos pagaidÄm notriecu Å”Ädi, bet tie sÄkas no jauna:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Trojas instalÄÅ”anas skriptu atradu Å”eit (centos): /usr/local/bin/nptd... Es to nepublicÄju, lai no tÄ izvairÄ«tos, bet, ja kÄds ir inficÄts un saprot Äaulas skriptus, lÅ«dzu, izpÄtiet to uzmanÄ«gÄk.
PievienoÅ”u, tiklÄ«dz informÄcija tiks papildinÄta.
UPD 1: failu dzÄÅ”ana (ar provizorisku chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root nepalÄ«dzÄja, kÄ arÄ« pakalpojuma apturÄÅ”ana. crontab pagaidÄm pilnÄ«bÄ izplÄÅ” to (pÄrdÄvÄjiet bin failu).
UPD 2: Trojas zirgu instalÄtÄjs dažkÄrt gulÄja arÄ« citÄs vietÄs, un meklÄÅ”ana pÄc izmÄra palÄ«dzÄja:
atrast / -izmÄrs 19825c
UPD 3: UzmanÄ«bu! Papildus selinux atspÄjoÅ”anai Trojas zirgs pievieno arÄ« savu SSH atslÄga mapÄ ${sshdir}/authorized_keys! Un aktivizÄ Å”Ädus laukus mapÄ /etc/ssh/sshd_config, ja tie vÄl nav iestatÄ«ti uz YES:
PermitRootLogin jÄ
RSAA autentifikÄcija jÄ
PubkeyAuthentication jÄ
echo UsePAM jÄ
Paroles autentifikÄcija jÄ
UPD 4: PagaidÄm apkopojot: atspÄjojiet Exim, cron (ar saknÄm), steidzami noÅemiet Trojas atslÄgu no ssh un rediÄ£Äjiet sshd konfigurÄciju, restartÄjiet sshd! Un vÄl nav skaidrs, vai tas palÄ«dzÄs, bet bez tÄ pastÄv problÄma.
SvarÄ«gu informÄciju no komentÄriem par ielÄpiem/atjauninÄjumiem pÄrvietoju uz piezÄ«mes sÄkumu, lai lasÄ«tÄji sÄktu ar to.
UPD 5:
UPD 6:
Ikviens, kurÅ” izstrÄdÄ (vai atrod) stabilu risinÄjumu, lÅ«dzu, rakstiet, jÅ«s palÄ«dzÄsiet daudziem.
UPD 7:
Ja vÄl neesat teicis, ka vÄ«russ ir augÅ”ÄmcÄlies, pateicoties nenosÅ«tÄ«tai vÄstulei Exim, mÄÄ£inot nosÅ«tÄ«t vÄstuli vÄlreiz, tÄ tiek atjaunota, skatieties /var/spool/exim4
JÅ«s varat notÄ«rÄ«t visu Exim rindu Å”Ädi:
exipick -i | xargs exim -Mrm
Ierakstu skaita pÄrbaude rindÄ:
exim -bpc
UPD 8: Atkal
UPD 9: izskatÄs darbojas, Paldies
Galvenais neaizmirst, ka serveris jau bija uzlauzts un uzbrucÄji varÄja paspÄt iestÄdÄ«t vÄl kÄdas netipiskÄkas ŔķebinoÅ”as lietas (pilinÄtÄjÄ nav norÄdÄ«tas).
TÄpÄc labÄk pÄriet uz pilnÄ«bÄ instalÄtu serveri (vds), vai vismaz turpinÄt monitorÄt tÄmu - ja ir kas jauns, rakstiet Å”eit komentÄros, jo acÄ«mredzot ne visi pÄries uz jaunu instalÄciju...
UPD 10: Paldies vÄlreiz
UPD 11: No
(pÄc vienas vai citas metodes izmantoÅ”anas cÄ«Åai pret Å”o ļaunprÄtÄ«go programmatÅ«ru)
Jums noteikti ir jÄpÄrstartÄ - ļaunprogrammatÅ«ra atrodas kaut kur atvÄrtos procesos un attiecÄ«gi atmiÅÄ un ieraksta sev jaunu, lai cron ik pÄc 30 sekundÄm
UPD 12:
UPD 13:
UPD 14: pÄrliecinÄt sevi, ka gudri cilvÄki nebÄg no saknes ā vÄl viena lieta
Pat ja tas nedarbojas no saknes, notiek uzlauÅ”ana... Man ir debian jessie UPD: stiept uz mana OrangePi, Exim darbojas no Debian-exim un joprojÄm notiek uzlauÅ”ana, pazaudÄti kroÅi utt.
UPD 15: pÄrejot uz tÄ«ru serveri no apdraudÄta, neaizmirstiet par higiÄnu,
PÄrsÅ«tot datus, pievÄrsiet uzmanÄ«bu ne tikai izpildÄmajiem vai konfigurÄcijas failiem, bet arÄ« visam, kas var saturÄt ļaunprÄtÄ«gas komandas (piemÄram, MySQL tas varÄtu bÅ«t CREATE TRIGGER vai CREATE EVENT). TÄpat neaizmirstiet par .html, .js, .php, .py un citiem publiskiem failiem (ideÄlÄ gadÄ«jumÄ Å”ie faili, tÄpat kÄ citi dati, bÅ«tu jÄatjauno no vietÄjÄs vai citas uzticamas krÄtuves).
UPD 16:
TÄtad visi pÄc atjauninÄÅ”anas jums jÄpÄrliecinÄs ka jÅ«s izmantojat jauno versiju!
exim --version
MÄs kopÄ«gi noskaidrojÄm viÅu konkrÄto situÄciju.
Serveris izmantoja DirectAdmin un tÄs veco da_exim pakotni (vecÄ versija, bez ievainojamÄ«bas).
TajÄ paÅ”Ä laikÄ ar DirectAdmin custombuild pakotÅu pÄrvaldnieka palÄ«dzÄ«bu faktiski tika instalÄta jaunÄka Exim versija, kas jau bija ievainojama.
Å ajÄ konkrÄtajÄ situÄcijÄ palÄ«dzÄja arÄ« atjauninÄÅ”ana, izmantojot custombuild.
Pirms Å”Ädiem eksperimentiem neaizmirstiet izveidot dublÄjumus, kÄ arÄ« pÄrliecinieties, ka pirms/pÄc atjauninÄÅ”anas visi Exim procesi ir no vecÄs versijas
Avots: www.habr.com