Ko nga hoa mahi e whakamahi ana i nga putanga Exim 4.87...4.91 i runga i o raatau mēra - kia tere te whakahou ki te putanga 4.92, kua mutu i mua i a Exim ake ki te karo i te hacking ma CVE-2019-10149.
He maha nga miriona o nga kaitoro huri noa i te ao kei te whakaraerae, ka whakatauhia te whakaraeraetanga he mea tino nui (CVSS 3.0 base score = 9.8/10). Ka taea e nga kaiwhaiwhai te whakahaere i nga whakahau i runga i to tuumau, he maha nga keehi mai i te pakiaka.
Me mohio kei te whakamahi koe i tetahi putanga pumau (4.92) kua oti ranei te papaki.
Whakapirihia ranei te mea o mua, tirohia te miro .
Whakahou mo 6 centos: cm. — mo centos 7 ka mahi ano, mena kaore ano kia tae tika mai i te epel.
UPD: Ka pa te Ubuntu 18.04 ko 18.10, kua tukuna he whakahou mo ratou. Ko nga putanga 16.04 me 19.04 karekau e pa ki te kore i whakauruhia nga whiringa ritenga ki runga. Ētahi atu kōrero .
Inaianei ko te raru e whakaahuahia ana i reira kei te kaha te whakamahi (na te karetao, tera pea), i kite ahau i te mate ki etahi o nga kaimau (e rere ana i te 4.91).
Ko etahi atu panui e tika ana mo te hunga kua "kua whiwhi" - me kawe e koe nga mea katoa ki te VPS ma me te raupaparorohiko hou, me rapu ranei he otinga. Me whakamatau tatou? Tuhia mehemea ka taea e tetahi te wikitoria tenei malware.
Mena ko koe, he kaiwhakamahi Exim me te panui i tenei, kaore ano kia whakahōu (kaore ano koe kia mohio kei te waatea te 4.92, he putanga papaki ranei), me mutu ka rere ki te whakahou.
Mo te hunga kua tae ki reira, me haere tonu...
UPS: a ka homai nga tohutohu tika:
He maha nga momo kino kino. Ma te whakarewa i te rongoa mo te mea he me te whakawātea i te tūtira, karekau te tangata e ora, kare pea e mohio he aha te mea e tika ana kia rongoatia.
Ka kitea te mate penei: ka utaina e [kthrotlds] te tukatuka; i runga i te VDS ngoikore he 100%, i runga i nga kaitoro he ngoikore engari ka kitea.
Whai muri i te mate, ka whakakorehia e te malware nga urunga cron, ka rehita noa i a ia ano ki reira hei whakahaere ia 4 meneti, i te wa e kore e huri te konae crontab. Crontab -e e kore e taea te tiaki i nga huringa, ka puta he hapa.
Ka taea te tango i nga mea rereke, hei tauira, penei, ka mukua te rarangi whakahau (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
I muri mai, i roto i te ētita crontab (vim), mukua te raina ka tiakina:dd
:wq
Heoi, kei te tuhirua ano etahi o nga mahi kaha, kei te whakaaro ahau.
I te wa ano, he paihere o nga wgets kaha (he korukoru ranei) e iri ana i runga i nga wahitau mai i te tuhinga whakauru (tirohia ki raro), kei te turaki ahau i a raatau penei mo tenei wa, engari ka timata ano:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
I kitea e ahau te tuhinga whakauru Trojan i konei (centos): /usr/local/bin/nptd... Kaore au i te tuku ki te karo, engari ki te pangia tetahi me te mohio ki nga tuhinga anga, me ata ako.
Ka taapirihia e au ka whakahouhia nga korero.
UPD 1: Ko te whakakore i nga konae (me te korerorero tuatahi -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root kaore i awhina, kaore hoki i mutu te ratonga - me crontab mo tenei wa ka haea (whakaingoa ano te konae bin).
UPD 2: I etahi wa e takoto ana te kaiuta Torotiana ki etahi atu waahi, i awhina te rapu i te rahi:
kitea / -rahi 19825c
UPD 3/XNUMX/XNUMX: Tūpato I tua atu i te whakakore i te selinux, ka taapirihia ano e te Torotiana tana ake SSH kī i roto i te ${sshdir}/mau_mau_matua! Ka whakahohe i nga mara e whai ake nei i /etc/ssh/sshd_config, mena kaore ano kia tautuhia ki te YES:
Whakaaetanga WhakauruAho ae
RSAAuthentication ae
PubkeyAuthentication ae
echo UsePAM ae
Kupuhipa motuhēhē āe
UPD 4: Hei whakarapopototanga mo tenei wa: whakakorehia te Exim, cron (me nga pakiaka), tango wawe i te taviri Torotiana mai i te ssh ka whakatika i te whirihora sshd, whakaara ano i te sshd! A kaore ano i te maarama ka awhina tenei, engari kaore he raru.
I nukuhia e au nga korero nui mai i nga korero mo nga papaki/whakahoutanga ki te timatanga o te tuhipoka, kia timata ai nga kaipānui.
UPD 5/XNUMX/XNUMX: i hurihia e te malware nga kupuhipa i roto i te WordPress.
UPD 6/XNUMX/XNUMX: , kia whakamatautau tatou! I muri i te whakaara ano, i te kati ranei, ka ngaro te rongoa, engari mo tenei wa ko te mea.
Ko te tangata ka hanga (ka kitea ranei) he otinga pumau, tuhia mai, ka awhina koe i te tini.
UPD 7/XNUMX/XNUMX: tuhi:
Mena kaore ano koe i kii kua whakaarahia te huaketo he mihi ki tetahi reta kaore i tukuna i Exim, ka ngana koe ki te tuku ano i te reta, ka whakahokia mai, titiro ki roto /var/spool/exim4
Ka taea e koe te whakakore i te rarangi Exim katoa penei:
expick -i | xargs exim -Mrm
Te taki i te maha o nga whakaurunga i te rarangi:
exim -bpc
UPD 8: Ano : I tukuna e FirstVDS ta ratou putanga o te tuhinga maimoatanga, me whakamatau!
UPD 9: Ko te ahua mahi, Tēnā koe mo te tuhinga!
Ko te mea nui kia kaua e wareware kua taupatupatuhia te kaimau, a ka taea e nga kaiwhaiwhai te whakato i etahi atu mea kino kino (kaore i te raarangi i roto i te tuuru).
Na reira, he pai ake te neke ki tetahi tūmau kua oti te whakauru (vds), me te haere tonu ki te aro turuki i te kaupapa - mena he mea hou, tuhia ki nga korero i konei, na te mea karekau nga tangata katoa e neke ki te whakaurunga hou...
UPD 10: Nga mihi ano : e whakamahara ana ehara i te mea ko nga kaitoro anake e pangia ana, engari ano hoki Pihikete Pi, me nga momo miihini mariko katoa ... Na i muri i te tiaki i nga kaitoro, kaua e wareware ki te tiaki i o whakaaturanga ataata, robots, etc.
UPD 11: Mai He korero nui mo nga kaiwhakaora a-ringa:
(i muri i te whakamahi i tetahi, i tetahi atu tikanga mo te patu i tenei malware)
Me whakaara ano koe - ka noho te malware ki tetahi waahi i roto i nga mahi tuwhera, na reira, i roto i te mahara, ka tuhia he mea hou hei cron ia 30 hēkona
UPD 12/XNUMX/XNUMX: Kei a Exim tetahi atu(?) malware kei roto i tana rarangi ka tohutohu koe ki te ako i to raru motuhake i mua i te tiimata i te maimoatanga.
UPD 13/XNUMX/XNUMX: engari, neke ki te punaha ma, me te whakawhiti i nga konae tino tupato, na te mea Kei te waatea noa te malware, ka taea te whakamahi ki etahi atu, he iti ake te maarama me te kino ake.
UPD 14: te whakapumau i a tatou ano kaore nga tangata mohio e rere mai i te putake - tetahi atu mea :
Ahakoa kaore e mahi mai i te pakiaka, ka puta te hacking ... Kei a au te debian jessie UPD: totoro ki runga i taku OrangePi, kei te rere a Exim mai i Debian-exim me te mahi hacking tonu, kua ngaro nga karauna, etc.
UPD 15: i te wa e neke ana koe ki tetahi kaimau maa mai i tetahi kua taupatupatu, kaua e wareware ki te akuaku, :
I te wa e whakawhiti ana i nga raraunga, kaua e aro noa ki nga konae whakahaere, whirihoranga ranei, engari ki nga mea katoa kei roto pea nga whakahau kino (hei tauira, i roto i te MySQL ka taea tenei ko TE WHAKAMAHI, TE WHAKAMAHI ranei). Waihoki, kaua e wareware ki te .html, .js, .php, .py me etahi atu konae a te iwi (ko te tikanga me whakahoki mai enei konae, pera i etahi atu raraunga, mai i te waahi rokiroki whirinaki ranei).
UPD 16/XNUMX/XNUMX: и : ko te punaha tetahi putanga o Exim i whakauruhia ki roto i nga tauranga, engari ko te mea kei te whakahaere i tetahi atu.
No reira katoa i muri i te whakahou me whakarite koe kei te whakamahi koe i te putanga hou!
exim --versionI whakatauhia e maatau nga ahuatanga motuhake.
I whakamahia e te tūmau DirectAdmin me tana mōkihi da_exim tawhito (putanga tawhito, kaore he whakaraeraetanga).
I te wa ano, me te awhina a te kaiwhakahaere kete hanga ritenga a DirectAdmin, me te mea, ka whakauruhia he putanga hou o Exim, he mea whakaraerae.
I tenei ahuatanga, ko te whakahou ma te hanga ritenga i awhina ano.
Kaua e wareware ki te mahi taapiri i mua i enei whakamatautau, me te whakarite hoki i mua/i muri i te whakahou i nga tukanga Exim katoa he putanga tawhito. a kaua e "piri" ki te mahara.
Source: will.com