Ireo mpiara-miasa izay mampiasa ny Exim version 4.87...4.91 amin'ny lohamilina mailaka - dia manavao haingana ny version 4.92, izay efa nanakana ny Exim teo aloha mba hisorohana ny fijirihana amin'ny CVE-2019-10149.
Mpizara an-tapitrisany maro eran'izao tontolo izao no mety ho marefo, ny vulnerability dia isaina ho mitsikera (CVSS 3.0 base score = 9.8/10). Ny mpanafika dia afaka mandefa baiko tsy misy dikany amin'ny mpizara anao, amin'ny tranga maro avy amin'ny root.
Azafady, ataovy azo antoka fa mampiasa dikan-teny raikitra (4.92) na iray efa voapetaka ianao.
Na mametaka ny efa misy, jereo ny kofehy .
Fanavaozana ho an'ny centony 6: cm. - ho an'ny centos 7 dia miasa ihany koa, raha mbola tsy tonga mivantana avy any epel.
UPD: Voakasika ny Ubuntu 18.04 sy 18.10, nisy fanavaozana navoaka ho azy ireo. Ny dikan-teny 16.04 sy 19.04 dia tsy misy fiantraikany raha tsy misy safidy manokana napetraka amin'izy ireo. antsipiriany bebe kokoa .
Ankehitriny ny olana voalaza ao dia araraotina (amin'ny bot, angamba), nahatsikaritra otrikaretina aho tamin'ny mpizara sasany (mihazakazaka amin'ny 4.91).
Ny famakiana fanampiny dia tsy ilaina afa-tsy ho an'ireo izay efa "nahazo izany" - mila mitondra ny zava-drehetra amin'ny VPS madio miaraka amin'ny rindrambaiko vaovao ianao, na mitady vahaolana. Hanandrana ve isika? Soraty raha misy afaka mandresy ity malware ity.
Raha toa ianao ka mpampiasa Exim ary mamaky an'ity dia mbola tsy nanavao (tsy nanao izay hahazoana antoka fa misy 4.92 na dikan-teny patched), azafady, atsaharo ary mihazakazaka ny fanavaozana.
Ho an'izay efa tonga any dia andao hitohy...
UPS: ary manome torohevitra tsara:
Mety misy karazana malware be dia be. Amin'ny fandefasana ny fanafody ho an'ny zavatra tsy mety sy ny fanadiovana ny filaharana, dia tsy ho sitrana ilay mpampiasa ary mety tsy hahafantatra izay tokony hitsaboana azy.
Ny aretina dia tsikaritra toy izao: [kthrotlds] mameno ny processeur; amin'ny VDS malemy dia 100%, amin'ny mpizara dia malemy kokoa nefa tsikaritra.
Aorian'ny otrikaretina, ny malware dia mamafa ny fidirana cron, misoratra anarana ao amin'ny tenany ihany mba handeha isaky ny 4 minitra, raha toa ka tsy azo ovaina ny rakitra crontab. Crontab -e tsy afaka mitahiry fanovana, manome fahadisoana.
Azo esorina ny tsy miova, ohatra, toy izao, ary esory ny andalana baiko (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Manaraka, ao amin'ny crontab editor (vim), esory ny tsipika ary tehirizo:dd
:wq
Na izany aza, ny sasany amin'ireo dingana mavitrika dia manodina indray, hitako izany.
Mandritra izany fotoana izany, misy andiana wgets mavitrika (na curls) mihantona amin'ny adiresy avy amin'ny script installer (jereo eto ambany), mandondona azy ireo aho amin'izao fotoana izao, saingy manomboka indray izy ireo:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Hitako teto ny script installer Trojan (centos): /usr/local/bin/nptd... Tsy alefako izany mba hialana amin'izany, fa raha misy olona voan'ny aretina ka mahatakatra ny script shell, dia diniho tsara.
Hanampy aho rehefa havaozina ny vaovao.
UPD 1: Ny famafana rakitra (miaraka amin'ny chattr -i mialoha) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root dia tsy nanampy, ary tsy nampiato ny serivisy - voatery aho crontab dia tapaho tanteraka amin'izao fotoana izao (manova anarana ny rakitra bin).
UPD 2: Ny installer Trojan indraindray koa mandry any amin'ny toerana hafa, ny fikarohana araka ny habeny dia nanampy:
mahita / -habe 19825c
UPD 3/XNUMX/XNUMX: Miangavy azafady! Ankoatra ny fanafoanana ny selinux, ny Trojan koa dia manampy ny azy SSH key amin'ny ${sshdir}/authorized_keys! Ary manetsika ireto sehatra manaraka ireto ao amin'ny /etc/ssh/sshd_config, raha mbola tsy napetraka ho YES:
PermitRootLogin eny
RSAAuthentication eny
PubkeyAuthentication eny
echo UsePAM eny
PasswordAuthentication eny
UPD 4: Raha fintinina amin'izao fotoana izao: esory ny Exim, cron (miaraka amin'ny faka), esory haingana ny fanalahidin'ny Trojan amin'ny ssh ary amboary ny sshd config, avereno indray ny sshd! Ary tsy mbola mazava fa hanampy izany, fa raha tsy misy izany dia misy olana.
Nafindrako ny fampahalalana manan-danja avy amin'ny fanehoan-kevitra momba ny patch/fanavaozana ho any amin'ny fiandohan'ny fanamarihana, mba hanombohan'ny mpamaky azy.
UPD 5/XNUMX/XNUMX: fa ny malware dia nanova tenimiafina tao amin'ny WordPress.
UPD 6/XNUMX/XNUMX: , andao hizaha toetra! Aorian'ny famerenana indray na fanakatonana dia toa manjavona ny fanafody, fa amin'izao fotoana izao farafaharatsiny dia izay.
Na iza na iza manao (na mahita) vahaolana marin-toerana dia manorata fa hanampy olona maro ianao.
UPD 7/XNUMX/XNUMX: manoratra hoe:
Raha mbola tsy nilaza ianao fa nitsangana tamin'ny maty ilay viriosy noho ny taratasy tsy nalefa tao amin'ny Exim, rehefa manandrana mandefa ilay taratasy indray ianao dia tafaverina, jereo ao amin'ny /var/spool/exim4
Azonao atao ny mamafa ny filaharana Exim manontolo toy izao:
expick -i | xargs exim -Mrm
Fanamarinana ny isan'ny fidirana amin'ny filaharana:
exim -bpc
UPD 8: Indray : Ny FirstVDS dia nanolotra ny dikan-ny script ho fitsaboana, andao hizaha toetra azy!
UPD 9: Toa izany miasa, Misaotra anao ho an'ny script!
Ny tena zava-dehibe dia ny tsy adino fa ny mpizara dia efa simba ary ny mpanafika dia afaka namboly zavatra ratsy kokoa (tsy voatanisa ao amin'ny dropper).
Noho izany dia tsara kokoa ny mifindra amin'ny server (vds) napetraka tanteraka, na farafaharatsiny manohy manara-maso ny lohahevitra - raha misy zava-baovao dia manorata ao amin'ny fanehoan-kevitra eto, satria Mazava ho azy fa tsy ny rehetra no hifindra amin'ny fametrahana vaovao ...
UPD 10: Misaotra indray : mampahatsiahy fa tsy ny mpizara ihany no voan'ny aretina, fa koa Raspberry Pi, ary ireo karazana milina virtoaly rehetra... Koa rehefa avy mitahiry ireo mpizara, aza adino ny mitahiry ny consoles video, robots, sns.
UPD 11: Avy amin'ny Fanamarihana manan-danja ho an'ny mpitsabo tanana:
(aorian'ny fampiasana fomba iray na fomba hafa hiadiana amin'ity malware ity)
Tena mila reboot ianao - mipetraka any amin'ny toerana misokatra ny malware ary, araka izany, ao anaty fitadidiana, ary manoratra ho an'ny tenany ho cron isaky ny 30 segondra.
UPD 12/XNUMX/XNUMX: Exim dia manana malware hafa (?) ao amin'ny filaharana ary manoro hevitra anao mba hianatra aloha ny olanao manokana alohan'ny hanombohana fitsaboana.
UPD 13/XNUMX/XNUMX: fa kosa, mifindra any amin'ny rafitra madio, ary mamindra rakitra tena amim-pitandremana, satria Ny malware dia efa hita ampahibemaso ary azo ampiasaina amin'ny fomba hafa tsy dia mazava loatra ary mampidi-doza kokoa.
UPD 14: manome toky ny tenantsika fa ny olona hendry dia tsy miala amin'ny fotony - zavatra iray hafa :
Na dia tsy mandeha amin'ny fakany aza izany, dia misy ny hacking ... Manana debian jessie UPD aho: mitsambikina amin'ny OrangePi-ko, Exim dia mihazakazaka avy amin'ny Debian-exim ary mbola nisy hacking, satroboninahitra very, sns.
UPD 15: rehefa mifindra any amin'ny mpizara madio avy amin'ny iray marimaritra iraisana, aza adino ny fahadiovana, :
Rehefa mamindra angon-drakitra dia tandremo tsy ny rakitra azo tanterahana na ny fisie, fa ny zavatra rehetra mety misy baiko ratsy (ohatra, ao amin'ny MySQL ity dia mety ho CREATE TRIGGER na CREATE EVENT). Aza hadino koa ny momba ny .html, .js, .php, .py ary ireo rakitra ho an'ny daholobe hafa (ny tena tsara dia tokony haverina avy amin'ny fitahirizana eo an-toerana na hafa azo itokisana ireo rakitra ireo, toy ny angona hafa).
UPD 16/XNUMX/XNUMX: ΠΈ : Ny rafitra dia manana dikan-teny iray amin'ny Exim napetraka ao amin'ny seranana, fa raha ny marina dia mandeha hafa izy io.
Ka ny rehetra aorian'ny fanavaozana tokony ho azonao antoka fa mampiasa ny version vaovao ianao!
exim --versionNiara-nandamina ny toe-javatra nisy azy ireo izahay.
Nampiasa DirectAdmin sy ny fonosana da_exim taloha (dika taloha, tsy misy vulnerability) ny mpizara.
Mandritra izany fotoana izany, miaraka amin'ny fanampian'ny DirectAdmin's custombuild package manager, raha ny marina, dia nisy dika vaovao an'ny Exim napetraka avy eo, izay efa vulnerable.
Amin'ity toe-javatra manokana ity, nanampy ihany koa ny fanavaozana amin'ny alΓ lan'ny custombuild.
Aza adino ny manao backups alohan'ny andrana toy izany, ary ataovy azo antoka fa alohan'ny / aorian'ny fanavaozana ny fizotran'ny Exim rehetra dia avy amin'ny dikan-teny taloha. ary tsy "miraikitra" amin'ny fitadidiana.
Source: www.habr.com