Rakan sekerja yang menggunakan Exim versi 4.87...4.91 pada pelayan mel mereka - mengemas kini segera kepada versi 4.92, setelah menghentikan Exim sendiri sebelum ini untuk mengelakkan penggodaman melalui CVE-2019-10149.
Beberapa juta pelayan di seluruh dunia berpotensi terdedah, kerentanan dinilai sebagai kritikal (skor asas CVSS 3.0 = 9.8/10). Penyerang boleh menjalankan arahan sewenang-wenangnya pada pelayan anda, dalam banyak kes dari akar.
Sila pastikan anda menggunakan versi tetap (4.92) atau versi yang telah ditambal.
Atau tampal yang sedia ada, lihat benang .
Kemas kini untuk centos 6: cm. β untuk centos 7 ia juga berfungsi, jika ia belum sampai terus dari epel.
UPD: Ubuntu terjejas 18.04 dan 18.10, kemas kini telah dikeluarkan untuk mereka. Versi 16.04 dan 19.04 tidak terjejas melainkan pilihan tersuai dipasang padanya. Maklumat lanjut .
Sekarang masalah yang dijelaskan di sana sedang dieksploitasi secara aktif (oleh bot, mungkin), saya melihat jangkitan pada beberapa pelayan (berjalan pada 4.91).
Bacaan lanjut hanya relevan untuk mereka yang telah "mendapatkannya" - anda perlu sama ada mengangkut segala-galanya ke VPS bersih dengan perisian baharu, atau mencari penyelesaian. Boleh kita cuba? Tulis jika sesiapa boleh mengatasi perisian hasad ini.
Jika anda, sebagai pengguna Exim dan membaca ini, masih belum mengemas kini (belum memastikan bahawa 4.92 atau versi yang ditambal tersedia), sila berhenti dan jalankan untuk mengemas kini.
Bagi yang sudah ke sana, jom teruskan...
UPD: dan memberikan nasihat yang betul:
Terdapat pelbagai jenis perisian hasad. Dengan melancarkan ubat untuk perkara yang salah dan membersihkan barisan, pengguna tidak akan sembuh dan mungkin tidak tahu apa yang dia perlu dirawat.
Jangkitan adalah ketara seperti ini: [kthrotlds] memuatkan pemproses; pada VDS yang lemah ia adalah 100%, pada pelayan ia lebih lemah tetapi ketara.
Selepas jangkitan, perisian hasad memadamkan entri cron, hanya mendaftarkan dirinya di sana untuk dijalankan setiap 4 minit, sambil menjadikan fail crontab tidak boleh diubah. Crontab -e tidak boleh menyimpan perubahan, memberikan ralat.
Tidak boleh ubah boleh dialih keluar, contohnya, seperti ini, dan kemudian padamkan baris arahan (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Seterusnya, dalam editor crontab (vim), padamkan baris dan simpan:dd
:wq
Walau bagaimanapun, beberapa proses aktif ditimpa semula, saya sedang memikirkannya.
Pada masa yang sama, terdapat sekumpulan wget aktif (atau keriting) yang tergantung pada alamat dari skrip pemasang (lihat di bawah), saya mengetuknya seperti ini buat masa ini, tetapi ia bermula semula:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Saya menemui skrip pemasang Trojan di sini (centos): /usr/local/bin/nptd... Saya tidak menyiarkannya untuk mengelakkannya, tetapi jika sesiapa dijangkiti dan memahami skrip shell, sila kaji dengan lebih teliti.
Saya akan tambah apabila maklumat dikemas kini.
UPD 1: Memadam fail (dengan chattr -i awal) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root tidak membantu, mahupun menghentikan perkhidmatan - saya terpaksa crontab sepenuhnya buat masa ini mengoyakkannya (menamakan semula fail bin).
UPD 2: Pemasang Trojan kadangkala turut berbaring di tempat lain, carian mengikut saiz membantu:
cari / -saiz 19825c
UPD 3/XNUMX/XNUMX: Amaran! Selain melumpuhkan selinux, Trojan juga menambah sendiri kunci SSH dalam ${sshdir}/authorized_keys! Dan aktifkan medan berikut dalam /etc/ssh/sshd_config, jika ia belum ditetapkan kepada YES:
PermitRootLogin ya
Pengesahan RSAA ya
Pengesahan Pubkey ya
echo UsePAM ya
Pengesahan Kata Laluan ya
UPD 4: Untuk meringkaskan buat masa ini: lumpuhkan Exim, cron (dengan akar), segera keluarkan kekunci Trojan daripada ssh dan edit konfigurasi sshd, mulakan semula sshd! Dan masih belum jelas bahawa ini akan membantu, tetapi tanpa itu ada masalah.
Saya mengalihkan maklumat penting daripada ulasan tentang tampalan/kemas kini ke permulaan nota, supaya pembaca mula dengannya.
UPD 5/XNUMX/XNUMX: bahawa perisian hasad menukar kata laluan dalam WordPress.
UPD 6/XNUMX/XNUMX: , mari uji! Selepas but semula atau penutupan, ubat itu nampaknya hilang, tetapi buat masa ini sekurang-kurangnya itu sahaja.
Sesiapa yang membuat (atau mencari) penyelesaian yang stabil, sila tulis, anda akan membantu ramai.
UPD 7/XNUMX/XNUMX: menulis:
Jika anda belum mengatakan bahawa virus itu dibangkitkan terima kasih kepada surat yang tidak dihantar dalam Exim, apabila anda cuba menghantar surat itu semula, ia dipulihkan, lihat dalam /var/spool/exim4
Anda boleh mengosongkan keseluruhan baris gilir Exim seperti ini:
exipick -i | xargs exim -Encik
Menyemak bilangan entri dalam baris gilir:
exim -bpc
UPD 8: Sekali lagi : FirstVDS menawarkan versi skrip rawatan mereka, mari kita uji!
UPD 9: Nampaknya kerja-kerja, terima kasih untuk skrip!
Perkara utama ialah jangan lupa bahawa pelayan telah terjejas dan penyerang boleh berjaya menanam beberapa perkara jahat yang tidak tipikal (tidak disenaraikan dalam penitis).
Oleh itu, lebih baik beralih ke pelayan yang dipasang sepenuhnya (vds), atau sekurang-kurangnya teruskan memantau topik - jika ada sesuatu yang baru, tulis dalam komen di sini, kerana jelas sekali tidak semua orang akan berpindah ke pemasangan baru...
UPD 10: Terima kasih sekali lagi : ia mengingatkan bahawa bukan sahaja pelayan dijangkiti, tetapi juga Raspberry Pi, dan semua jenis mesin maya... Jadi selepas menyimpan pelayan, jangan lupa simpan konsol video, robot, dsb.
UPD 11: Daripada Nota penting untuk penyembuh manual:
(selepas menggunakan satu atau kaedah lain untuk memerangi perisian hasad ini)
Anda pastinya perlu but semula - perisian hasad berada di suatu tempat dalam proses terbuka dan, oleh itu, dalam ingatan, dan menulis sendiri yang baharu untuk dikron setiap 30 saat
UPD 12/XNUMX/XNUMX: Exim mempunyai satu lagi(?) perisian hasad dalam baris gilirnya dan menasihatkan anda untuk mengkaji dahulu masalah khusus anda sebelum memulakan rawatan.
UPD 13/XNUMX/XNUMX: sebaliknya, beralih ke sistem yang bersih, dan pindahkan fail dengan sangat berhati-hati, kerana... Malware sudah tersedia secara umum dan boleh digunakan dalam cara lain yang kurang jelas dan lebih berbahaya.
UPD 14: meyakinkan diri kita bahawa orang pintar tidak lari dari akar - satu lagi perkara :
Walaupun ia tidak berfungsi dari akar, penggodaman berlaku... Saya mempunyai debian jessie UPD: regangan pada OrangePi saya, Exim berjalan dari Debian-exim dan masih berlaku penggodaman, kehilangan mahkota, dsb.
UPD 15: apabila berpindah ke pelayan bersih daripada pelayan yang terjejas, jangan lupa tentang kebersihan, :
Apabila memindahkan data, perhatikan bukan sahaja kepada fail boleh laku atau konfigurasi, tetapi juga pada apa-apa sahaja yang mungkin mengandungi arahan berniat jahat (contohnya, dalam MySQL ini boleh CREATE TRIGGER atau CREATE EVENT). Selain itu, jangan lupa tentang .html, .js, .php, .py dan fail awam lain (sebaik-baiknya fail ini, seperti data lain, harus dipulihkan daripada storan tempatan atau storan dipercayai lain).
UPD 16/XNUMX/XNUMX: ΠΈ : sistem mempunyai satu versi Exim yang dipasang di port, tetapi sebenarnya ia menjalankan yang lain.
Jadi semua orang selepas kemas kini anda harus pastikan bahawa anda menggunakan versi baharu!
exim --versionKami menyelesaikan situasi khusus mereka bersama-sama.
Pelayan menggunakan DirectAdmin dan pakej da_exim lamanya (versi lama, tanpa kelemahan).
Pada masa yang sama, dengan bantuan pengurus pakej binaan tersuai DirectAdmin, sebenarnya, versi Exim yang lebih baharu kemudian dipasang, yang sudah terdedah.
Dalam situasi khusus ini, mengemas kini melalui binaan tersuai juga membantu.
Jangan lupa untuk membuat sandaran sebelum eksperimen sedemikian, dan juga pastikan sebelum/selepas kemas kini semua proses Exim adalah daripada versi lama dan tidak "terperangkap" dalam ingatan.
Sumber: www.habr.com