Kollegi li jużaw il-verżjonijiet Exim 4.87...4.91 fuq is-servers tal-posta tagħhom - jaġġornaw b'mod urġenti għall-verżjoni 4.92, wara li qabel waqqfu Exim innifsu biex jevitaw il-hacking permezz ta' CVE-2019-10149.
Diversi miljuni ta' servers madwar id-dinja huma potenzjalment vulnerabbli, il-vulnerabbiltà hija kklassifikata bħala kritika (punteġġ bażi CVSS 3.0 = 9.8/10). L-attakkanti jistgħu jmexxu kmandi arbitrarji fuq is-server tiegħek, f'ħafna każijiet mill-għeruq.
Jekk jogħġbok kun żgur li qed tuża verżjoni fissa (4.92) jew waħda li diġà ġiet patched.
Jew garża dik eżistenti, ara ħajta .
Aġġornament għal ċenteżmi 6: cm. — għal centos 7 jaħdem ukoll, jekk għadu ma wasalx direttament minn epel.
UPD: Ubuntu huwa affettwat 18.04 u 18.10, ġie rilaxxat aġġornament għalihom. Il-verżjonijiet 16.04 u 19.04 mhumiex affettwati sakemm ma kinux installati għażliet personalizzati fuqhom. Iktar dettalji .
Issa l-problema deskritta hemm qed tiġi sfruttata b'mod attiv (minn bot, preżumibbilment), innutajt infezzjoni fuq xi servers (li jaħdmu fuq 4.91).
Qari ulterjuri huwa rilevanti biss għal dawk li diġà "kisbu" - għandek bżonn jew tittrasporta kollox għal VPS nadif b'softwer frisk, jew tfittex soluzzjoni. Nippruvaw? Ikteb jekk xi ħadd jista' jegħleb dan il-malware.
Jekk int, li tkun utent ta' Exim u taqra dan, għadek ma aġġornajtx (ma ċċertejtx li 4.92 jew verżjoni patched hija disponibbli), jekk jogħġbok waqqaf u aġri biex taġġorna.
Għal dawk li diġà waslu hemm, ejja nkomplu...
AĠĠORNAMENT: u jagħti l-parir it-tajjeb:
Jista 'jkun hemm varjetà kbira ta' malware. Billi tniedi l-mediċina għall-ħaġa ħażina u tneħħi l-kju, l-utent mhux se jkun imfejjaq u jista 'ma jkunx jaf għalxiex jeħtieġ li jiġi ttrattat.
L-infezzjoni hija notevoli bħal din: [kthrotlds] jgħabbi l-proċessur; fuq VDS dgħajjef huwa 100%, fuq servers huwa aktar dgħajjef iżda notevoli.
Wara l-infezzjoni, il-malware iħassar l-iskrizzjonijiet tal-cron, u jirreġistra biss hemmhekk biex jaħdem kull 4 minuti, filwaqt li jagħmel il-fajl crontab immutabbli. Crontab -e ma jistax isalva l-bidliet, jagħti żball.
Immutabbli jista 'jitneħħa, pereżempju, bħal dan, u mbagħad ħassar il-linja tal-kmand (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sussegwentement, fl-editur tal-crontab (vim), ħassar il-linja u ssejvja:dd
:wq
Madankollu, xi wħud mill-proċessi attivi qed jiktbu mill-ġdid, qed nifhem.
Fl-istess ħin, hemm mazz ta 'wgets attivi (jew curls) imdendlin fuq l-indirizzi mill-iskrittura tal-installatur (ara hawn taħt), jien qed inwaqqahom bħal dan għalissa, iżda jerġgħu jibdew:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Sibt l-iskrittura tal-installatur Trojan hawn (centos): /usr/local/bin/nptd... M'iniex nippubblikaha biex nevitaha, imma jekk xi ħadd ikun infettat u jifhem l-iskripts tal-qoxra, jekk jogħġbok studjaha aktar bir-reqqa.
Se nżid hekk kif l-informazzjoni tiġi aġġornata.
UPD 1: It-tħassir ta' fajls (b'chattr -i preliminari) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ma għenx, u lanqas twaqqaf is-servizz - kelli nagħmel crontab kompletament għalissa tiċritah (issemmi mill-ġdid il-fajl bin).
UPD 2: L-installatur Trojan ġieli kien ukoll mimdud f'postijiet oħra, it-tiftix skont id-daqs għen:
issib / -size 19825c
UPD 3/XNUMX/XNUMX: Attenzjoni! Minbarra li jiskonnettja selinux, it-Trojan iżid ukoll tiegħu stess SSH ċavetta fi ${sshdir}/authorized_keys! U jattiva l-oqsma li ġejjin f'/etc/ssh/sshd_config, jekk ma jkunux diġà ġew issettjati għal IVA:
PermitRootLogin iva
Awtentikazzjoni RSA iva
PubkeyAuthentication iva
echo UsePAM iva
PasswordAuthentication iva
UPD 4: Biex tqassar għalissa: iddiżattiva Exim, cron (bl-għeruq), neħħi b'mod urġenti ċ-ċavetta Trojan minn ssh u editja l-konfigurazzjoni sshd, ibda mill-ġdid sshd! U għadu mhux ċar li dan se jgħin, iżda mingħajrha hemm problema.
Ċaqlaqt informazzjoni importanti mill-kummenti dwar irqajja/aġġornamenti għall-bidu tan-nota, sabiex il-qarrejja jibdew biha.
UPD 5/XNUMX/XNUMX: li l-malware biddel il-passwords fi WordPress.
UPD 6/XNUMX/XNUMX: , ejja nittestjaw! Wara reboot jew għeluq, il-mediċina tidher li tisparixxi, iżda għalissa tal-inqas hekk.
Kull min jagħmel (jew isib) soluzzjoni stabbli, jekk jogħġbok ikteb, inti tgħin ħafna.
UPD 7/XNUMX/XNUMX: jikteb:
Jekk ma tkunx diġà għidt li l-virus irxoxta grazzi għal ittra mhux mibgħuta f'Exim, meta tipprova terġa' tibgħat l-ittra, din tiġi restawrata, ħares f'/var/spool/exim4
Tista' tnaddaf il-kju kollu tal-Exim bħal dan:
exipick -i | xargs exim -Mrm
Iċċekkja n-numru ta' daħliet fil-kju:
exim -bpc
UPD 8: Għal darb'oħra : FirstVDS offrew il-verżjoni tagħhom tal-iskrittura tat-trattament, ejja nittestjawha!
UPD 9: Jidher qisu xogħlijiet, Grazzi għall-iskript!
Il-ħaġa prinċipali hija li ma ninsewx li s-server kien diġà kompromess u l-attakkanti setgħu rnexxielhom iħawlu xi affarijiet diżgustanti aktar atipiċi (mhux elenkati fil-dropper).
Għalhekk, huwa aħjar li timxi għal server kompletament installat (vds), jew għall-inqas tkompli tissorvelja s-suġġett - jekk hemm xi ħaġa ġdida, ikteb fil-kummenti hawn, għax ovvjament mhux kulħadd se jmur għal installazzjoni ġdida...
UPD 10: Grazzi mill-ġdid : ifakkar li mhux biss is-servers huma infettati, iżda wkoll Lampun Pi, u kull xorta ta 'magni virtwali... Allura wara li ssalva s-servers, tinsiex issalva l-konsols tal-vidjo tiegħek, robots, eċċ.
UPD 11: Minn Nota importanti għall-healers manwali:
(wara li uża metodu wieħed jew ieħor biex tiġġieled dan il-malware)
Żgur li trid terġa 'tibda - il-malware joqgħod x'imkien fi proċessi miftuħa u, għalhekk, fil-memorja, u jikteb huwa stess wieħed ġdid biex cron kull 30 sekonda
UPD 12/XNUMX/XNUMX: Exim għandu malware ieħor (?) fil-kju tiegħu u jagħtik parir biex l-ewwel tistudja l-problema speċifika tiegħek qabel tibda t-trattament.
UPD 13/XNUMX/XNUMX: pjuttost, jimxu għal sistema nadifa, u ttrasferixxi fajls b'attenzjoni kbira, għaliex Il-malware huwa diġà disponibbli pubblikament u jista' jintuża b'modi oħra, inqas ovvji u aktar perikolużi.
UPD 14: nassiguraw lilna nfusna li n-nies intelliġenti ma jaħarbux mill-għeruq - ħaġa oħra :
Anke jekk ma taħdimx mill-għeruq, iseħħ hacking... Għandi debian jessie UPD: stretch fuq l-OrangePi tiegħi, Exim qed jaħdem minn Debian-exim u xorta ġara hacking, kuruni mitlufa, eċċ.
UPD 15: meta tiċċaqlaq għal server nadif minn wieħed kompromess, tinsiex dwar l-iġjene, :
Meta tittrasferixxi d-dejta, oqgħod attent mhux biss għal fajls eżekutibbli jew ta 'konfigurazzjoni, iżda wkoll għal kull ħaġa li jista' jkun fiha kmandi malizzjużi (per eżempju, f'MySQL dan jista 'jkun CREATE TRIGGER jew CREATE EVENT). Ukoll, tinsiex dwar .html, .js, .php, .py u fajls pubbliċi oħra (idealment dawn il-fajls, bħal data oħra, għandhom jiġu rrestawrati minn ħażna lokali jew oħra fdata).
UPD 16/XNUMX/XNUMX: и : is-sistema kellha verżjoni waħda tal-Exim installata fil-portijiet, iżda fir-realtà kienet qed taħdem verżjoni oħra.
Allura kulħadd wara l-aġġornament għandek taċċerta ruħek li qed tuża l-verżjoni l-ġdida!
exim --versionIrranġajna s-sitwazzjoni speċifika tagħhom flimkien.
Is-server uża DirectAdmin u l-pakkett antik tiegħu da_exim (verżjoni l-qadima, mingħajr vulnerabbiltà).
Fl-istess ħin, bl-għajnuna tal-maniġer tal-pakkett custombuild ta 'DirectAdmin, fil-fatt, imbagħad ġiet installata verżjoni aktar ġdida ta' Exim, li kienet diġà vulnerabbli.
F'din is-sitwazzjoni partikolari, l-aġġornament permezz ta' custombuild għen ukoll.
Tinsiex tagħmel backups qabel esperimenti bħal dawn, u kun żgur ukoll li qabel/wara l-aġġornament il-proċessi Exim kollha huma tal-verżjoni l-antika u mhux "mwaħħla" fil-memorja.
Sors: www.habr.com