Мэйл сервер дээрээ Exim-ийн 4.87...4.91 хувилбарыг ашигладаг хамт олон - CVE-4.92-2019-ээр дамжуулан хакердахаас сэргийлж, өмнө нь Exim-г өөрөө зогсоосон тул 10149 хувилбар руу яаралтай шинэчилнэ үү.
Дэлхий даяар хэдэн сая серверүүд эмзэг байж болзошгүй бөгөөд эмзэг байдлыг маш чухал гэж үнэлдэг (CVSS 3.0 үндсэн оноо = 9.8/10). Халдагчид ихэнх тохиолдолд root-оос таны сервер дээр дурын командуудыг ажиллуулж болно.
Та тогтмол хувилбар (4.92) эсвэл аль хэдийн засвар хийгдсэн хувилбарыг ашиглаж байгаа эсэхээ шалгана уу.
Эсвэл байгаа нэгийг нь нөхөж, сэдвийг харна уу .
-д зориулж шинэчлэх Centenn 6: см. — Epel-ээс шууд ирээгүй бол centos 7-ийн хувьд энэ нь бас ажилладаг.
UPD: Ubuntu нөлөөлсөн 18.04 болон 18.10, тэдэнд зориулсан шинэчлэлт гарсан. 16.04 ба 19.04 хувилбарууд дээр захиалгат тохируулгуудыг суулгаагүй тохиолдолд нөлөөлөхгүй. Илүү дэлгэрэнгүй мэдээллийг .
Одоо тэнд тайлбарласан асуудал идэвхтэй ашиглагдаж байна (ботоор магадгүй), би зарим сервер дээр халдвар авсан байгааг анзаарсан (4.91 дээр ажиллаж байгаа).
Цаашид унших нь зөвхөн "олж авсан" хүмүүст л хамаатай - та бүх зүйлийг шинэ програм хангамжтай цэвэр VPS руу зөөх эсвэл шийдлийг хайх хэрэгтэй. Бид оролдох уу? Энэ хортой програмыг даван туулж чадах хүн байвал бичээрэй.
Хэрэв та Exim хэрэглэгч бөгөөд үүнийг уншиж байгаа ч шинэчлэгдээгүй хэвээр байгаа бол (4.92 эсвэл засварласан хувилбар байгаа эсэхийг шалгаагүй бол) зогсоод шинэчлэхийн тулд гүйнэ үү.
Тэнд очсон хүмүүсийн хувьд үргэлжлүүлье ...
UPD: мөн зөв зөвлөгөө өгдөг:
Маш олон төрлийн хортой програм байж болно. Эмийг буруу зүйлд оруулж, дарааллыг арилгаснаар хэрэглэгч эдгэрэхгүй, ямар эмчилгээ хийлгэх ёстойгоо мэдэхгүй байх магадлалтай.
Халдвар нь иймэрхүү мэдэгдэхүйц юм: [ktrotlds] процессорыг ачаална; сул VDS дээр энэ нь 100%, сервер дээр энэ нь сул боловч мэдэгдэхүйц юм.
Халдвар авсны дараа хортой програм нь cron оруулгуудыг устгаж, зөвхөн өөрийгөө тэнд бүртгэж 4 минут тутамд ажиллуулахын зэрэгцээ crontab файлыг өөрчлөх боломжгүй болгодог. Crontab -e өөрчлөлтүүдийг хадгалах боломжгүй тул алдаа гарлаа.
Үл өөрчлөгддөггүй зүйлийг устгаж болно, жишээлбэл үүн шиг, дараа нь командын мөрийг устгаж болно (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Дараа нь crontab засварлагч (vim) дээр мөрийг устгаад хадгална уу:dd
:wq
Гэсэн хэдий ч зарим идэвхтэй процессууд дахин бичигдэж байна, би үүнийг олж мэдэж байна.
Үүний зэрэгцээ суулгагч скриптийн хаягууд дээр олон тооны идэвхтэй wgets (эсвэл буржгар) өлгөөтэй байна (доороос харна уу), би одоохондоо тэдгээрийг устгаж байна, гэхдээ тэд дахин эхэлж байна:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Би эндээс Трояны суулгагч скриптийг олсон (centos): /usr/local/bin/nptd... Би үүнээс зайлсхийхийн тулд нийтлэхгүй байна, гэхдээ хэрэв хэн нэгэн халдвар авсан бөгөөд бүрхүүлийн скриптийг ойлгодог бол үүнийг сайтар судлаарай.
Мэдээлэл шинэчлэгдэж байгаа тул би нэмэх болно.
UPD 1: Файлуудыг устгах (урьдчилсан chattr -i-тэй) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root нь тус болсонгүй, үйлчилгээгээ зогсоосонгүй. crontab одоохондоо үүнийг бүрэн устгана уу (хогийн файлын нэрийг өөрчлөх).
UPD 2: Трояны суулгагч заримдаа өөр газар хэвтэж байсан бөгөөд хэмжээсээр нь хайх нь тусалсан:
олох / -хэмжээ 19825c
UPD 3/XNUMX/XNUMX: Анхаар Троян нь selinux-ийг идэвхгүй болгохоос гадна өөрийн гэсэн програмыг нэмдэг SSH түлхүүр ${sshdir}/authorized_keys дээр! Мөн /etc/ssh/sshd_config доторх дараах талбаруудыг ТИЙМ гэж тохируулаагүй бол идэвхжүүлнэ:
Тиймээ PermitRootНэвтрэх
RSAA баталгаажуулалт тийм
PubkeyAuthentication тийм
echo UsePAM тийм ээ
Нууц үгийн баталгаажуулалт тийм
UPD 4: Одоогийн байдлаар дүгнэж хэлэхэд: Exim, cron (үндэстэй) идэвхгүй болгож, ssh-ээс Trojan түлхүүрийг яаралтай устгаад sshd тохиргоог засварлаж, sshd-г дахин эхлүүлнэ үү! Энэ нь тус болох нь одоогоор тодорхойгүй байна, гэхдээ үүнгүйгээр асуудал гардаг.
Би засварууд/шинэчлэлтүүдийн талаарх сэтгэгдлээс чухал мэдээллийг тэмдэглэлийн эхэнд шилжүүлсэн бөгөөд ингэснээр уншигчид үүнээс эхэлж болно.
UPD 5/XNUMX/XNUMX: Энэ хортой програм нь WordPress дээрх нууц үгийг өөрчилсөн.
UPD 6/XNUMX/XNUMX: , туршиж үзье! Дахин ачаалсны дараа эсвэл унтраасны дараа эм алга болж байгаа юм шиг санагдаж байна, гэхдээ одоохондоо ийм л байна.
Тогтвортой шийдэл гаргасан (эсвэл олсон) хэн ч бичээрэй, та олон хүнд туслах болно.
UPD 7/XNUMX/XNUMX: бичдэг:
Хэрэв та Exim-д илгээгдээгүй захидлын ачаар вирус дахин амилсан гэж хэлээгүй бол дахин захидал илгээх гэж оролдох үед энэ нь сэргээгдсэн бол /var/spool/exim4-г харна уу.
Та Exim дарааллыг бүхэлд нь дараах байдлаар арилгаж болно.
exipick -i | xargs exim - ноён
Дараалалд байгаа оролтын тоог шалгаж байна:
exim -bpc
UPD 8: Дахин : FirstVDS эмчилгээний скриптийн хувилбарыг санал болгосон, үүнийг туршиж үзье!
UPD 9: Энэ нь харагдаж байна ажиллана, Баярлалаа скриптийн хувьд!
Хамгийн гол нь сервер аль хэдийн эвдэрсэн байсан бөгөөд халдагчид хэд хэдэн ердийн бус муухай зүйлийг (дусаагуурт жагсаагүй) суулгаж чадсан гэдгийг мартаж болохгүй.
Тиймээс, бүрэн суулгасан сервер (vds) руу шилжих нь дээр, эсвэл ядаж сэдвийг үргэлжлүүлэн хянах нь дээр - хэрэв шинэ зүйл байвал энд сэтгэгдэл дээр бичээрэй, учир нь Хүн бүр шинэ суулгац руу шилжихгүй нь ойлгомжтой ...
UPD 10: Дахин баярлалаа : энэ нь зөвхөн серверүүд төдийгүй халдвар авсан гэдгийг сануулж байна Raspberry Pi, болон бүх төрлийн виртуал машинууд... Тиймээс серверүүдийг хадгалсны дараа видео консол, робот гэх мэтийг хадгалахаа бүү мартаарай.
UPD 11: Эхнээс Гарын авлагын эмч нарт зориулсан чухал тэмдэглэл:
(энэ хортой програмтай тэмцэх нэг буюу өөр аргыг хэрэглэсний дараа)
Та дахин ачаалах хэрэгтэй - хортой програм нь нээлттэй процессуудын хаа нэгтээ, үүний дагуу санах ойд байрладаг бөгөөд 30 секунд тутамд шинийг бичдэг.
UPD 12/XNUMX/XNUMX: Exim-ийн дараалалд өөр (?) хортой програм байгаа бөгөөд эмчилгээг эхлэхийн өмнө эхлээд өөрийн асуудлаа судлахыг зөвлөж байна.
UPD 13/XNUMX/XNUMX: харин цэвэр систем рүү шилжиж файлуудыг маш болгоомжтой шилжүүлээрэй, учир нь Хортой програм нь аль хэдийн олон нийтэд нээлттэй байгаа бөгөөд бусад, тодорхой бус, илүү аюултай арга хэлбэрээр ашиглагдах боломжтой.
UPD 14: Ухаалаг хүмүүс үндсээсээ зугтдаггүй гэж өөрсдийгөө тайвшруулах - өөр нэг зүйл :
Хэдийгээр энэ нь root-ээс ажиллахгүй байсан ч хакердах тохиолдол гардаг... Надад debian jessie UPD байна: миний OrangePi дээр сунгах, Exim Debian-exim-ээс ажиллаж байгаа бөгөөд хакердах ажиллагаа үргэлжилсээр, титэм алдагдсан гэх мэт.
UPD 15: эвдэрсэн серверээс цэвэр сервер рүү шилжихдээ эрүүл ахуйн талаар бүү мартаарай. :
Өгөгдөл дамжуулахдаа зөвхөн гүйцэтгэгдэх эсвэл тохиргооны файлууд төдийгүй хортой команд агуулсан аливаа зүйлд анхаарлаа хандуулаарай (жишээ нь MySQL-д энэ нь CREATE TRIGGER эсвэл CREATE EVENT байж болно). Мөн .html, .js, .php, .py болон бусад нийтийн файлуудын талаар бүү мартаарай (эдгээр файлуудыг бусад өгөгдлийн нэгэн адил орон нутгийн болон бусад итгэмжлэгдсэн сангаас сэргээх нь зүйтэй).
UPD 16/XNUMX/XNUMX: и : систем нь портуудад Exim-ийн нэг хувилбарыг суулгасан байсан боловч бодит байдал дээр өөр хувилбар ажиллаж байсан.
Тиймээс хүн бүр шинэчлэлтийн дараа та итгэлтэй байх ёстой Та шинэ хувилбарыг ашиглаж байна!
exim --versionБид тэдний тодорхой нөхцөл байдлыг хамтдаа эрэмбэлсэн.
Сервер нь DirectAdmin болон түүний хуучин da_exim багцыг ашигласан (хуучин хувилбар, эмзэг байдалгүй).
Үүний зэрэгцээ DirectAdmin-ийн custombuild багц менежерийн тусламжтайгаар Exim-ийн шинэ хувилбарыг суулгасан бөгөөд энэ нь аль хэдийн эмзэг байсан.
Ийм нөхцөлд custombuild-ээр дамжуулан шинэчлэх нь бас тусалсан.
Ийм туршилт хийхээс өмнө нөөцлөлт хийхээ бүү мартаарай, мөн шинэчлэлт хийхээс өмнө/дарсны дараа бүх Exim процессууд хуучин хувилбартай байгаа эсэхийг шалгаарай. мөн санах ойд "гацаагүй".
Эх сурвалж: www.habr.com