Exim ကို 4.92 သို့ အမြန်အပ်ဒိတ်လုပ်ပါ - တက်ကြွသောကူးစက်မှုတစ်ခုရှိပါသည်။

၎င်းတို့၏မေးလ်ဆာဗာများတွင် Exim ဗားရှင်း 4.87...4.91 ကို အသုံးပြုသည့် လုပ်ဖော်ကိုင်ဖက်များသည် CVE-4.92-2019 မှတစ်ဆင့် ဟက်ကင်းများကို ရှောင်ရှားရန်အတွက် Exim ကိုယ်တိုင်ကို ယခင်က ရပ်တန့်ခဲ့ပြီး ဗားရှင်း 10149 သို့ အရေးပေါ် အပ်ဒိတ်လုပ်ခဲ့သည်။

ကမ္ဘာတစ်ဝှမ်းရှိ ဆာဗာသန်းပေါင်းများစွာသည် အားနည်းချက်ဖြစ်နိုင်ချေရှိပြီး အားနည်းချက်ကို ဝေဖန်ပိုင်းခြားနိုင်သည် (CVSS 3.0 အခြေခံရမှတ် = 9.8/10)။ Attacker များသည် root မှနေ၍ များစွာသော ကိစ္စများတွင် သင့်ဆာဗာတွင် မတရားသော command များကို လုပ်ဆောင်နိုင်သည်။

သင်သည် ပုံသေဗားရှင်း (4.92) သို့မဟုတ် ဖာထေးပြီးသော ဗားရှင်းကို အသုံးပြုနေကြောင်း သေချာပါစေ။
သို့မဟုတ် ရှိပြီးသားတစ်ခုကို ဖာထေးပါ၊ ကြိုးကိုကြည့်ပါ။ မသန့်ရှင်းသောမှတ်ချက်.

Update ပြုလုပ်ရန် centos ၈: စင်တီမီတာ။ Theodor မှမှတ်ချက် — centos 7 အတွက်၊ ၎င်းသည် epel မှ တိုက်ရိုက်မရောက်သေးပါက ၎င်းသည်လည်း အလုပ်လုပ်သည်။

UPD- Ubuntu သည် ထိခိုက်သည်။ 18.04 နှင့် 18.10၎င်းတို့အတွက် အပ်ဒိတ်တစ်ခု ထွက်ရှိလာခဲ့သည်။ ဗားရှင်း 16.04 နှင့် 19.04 တို့သည် ၎င်းတို့တွင် စိတ်ကြိုက်ရွေးချယ်စရာများကို ထည့်သွင်းမထားပါက သက်ရောက်မှုမရှိပါ။ အသေးစိတ်အချက်များ သူတို့ရဲ့တရားဝင်ဝက်ဘ်ဆိုက်ပေါ်မှာ.

Opennet တွင် ပြဿနာအကြောင်း အချက်အလက်
Exim ဝဘ်ဆိုဒ်တွင် အချက်အလက်

ယခုအခါတွင် ဖော်ပြထားသော ပြဿနာသည် (bot တစ်ခုက အသုံးချနေခြင်းဟု ယူဆရသည်)၊ အချို့သော ဆာဗာများတွင် ကူးစက်မှုတစ်ခု (4.91 တွင် လုပ်ဆောင်နေသည်) သတိပြုမိပါသည်။

ဆက်လက်ဖတ်ရှုခြင်းသည် "ရပြီးသား" သူများအတွက်သာ သက်ဆိုင်သည် - သင်သည် အရာအားလုံးကို သန့်ရှင်းလတ်ဆတ်သော ဆော့ဖ်ဝဲလ်ဖြင့် သန့်ရှင်းသော VPS သို့ ပို့ဆောင်ရန် သို့မဟုတ် ဖြေရှင်းချက်ရှာရန် လိုအပ်သည်။ ငါတို့ကြိုးစားရမလား မည်သူမဆို ဤ malware ကို ကျော်လွှားနိုင်လျှင် စာရေးပါ။

အကယ်၍ သင်သည် Exim အသုံးပြုသူတစ်ဦးဖြစ်ပြီး ၎င်းကိုဖတ်ရှုခြင်းဖြစ်ပါက အပ်ဒိတ်မလုပ်ရသေးပါက (4.92 သို့မဟုတ် patched ဗားရှင်းကိုရရှိနိုင်ကြောင်း မသေချာသေးပါ) ကျေးဇူးပြု၍ ရပ်ပြီး အပ်ဒိတ်လုပ်ရန် လုပ်ဆောင်ပါ။

ရပြီးသားသူတွေအတွက် ဆက်လိုက်ကြရအောင်...

UPD: supersmile2009 တွင် အခြားသော malware အမျိုးအစားကို တွေ့ရှိခဲ့သည်။ မှန်ကန်သောအကြံဉာဏ်ကို ပေးသည်-

Malware အမျိုးမျိုး ရှိနိုင်ပါတယ်။ မှားယွင်းသော ဆေးဝါးကို စတင်သုံးစွဲပြီး တန်းစီခြင်းကို ရှင်းလင်းခြင်းဖြင့် အသုံးပြုသူသည် ပျောက်ကင်းသွားမည်မဟုတ်သည့်အပြင် ကုသရန် လိုအပ်သည်ကိုလည်း မသိနိုင်ပေ။

ကူးစက်မှုမှာ ဤကဲ့သို့ သိသာထင်ရှားသည်- [kthrotlds] ပရိုဆက်ဆာကို တင်သည်။ အားနည်းသော VDS တွင် ၎င်းသည် 100% ဆာဗာများတွင် အားနည်းသော်လည်း သိသာသည်။

ကူးစက်ခံရပြီးနောက်၊ malware သည် cron ဖိုင်များကို မပြောင်းလဲနိုင်ဘဲ 4 မိနစ်တိုင်း run ရန် ၎င်းတွင်သာ စာရင်းသွင်းကာ cron ဖိုင်ကို ဖျက်ပစ်ပါသည်။ Crontab -e အပြောင်းအလဲများကို သိမ်းဆည်း၍မရပါ၊ အမှားတစ်ခုပေးသည်။

မပြောင်းလဲနိုင်သော ဥပမာအားဖြင့် ဤကဲ့သို့ ဖယ်ရှားနိုင်ပြီး အမိန့်ပေးစာကြောင်း (1.5kb) ကို ဖျက်ပါ-

chattr -i /var/spool/cron/root
crontab -e

ထို့နောက်၊ crontab တည်းဖြတ်သူ (vim) တွင် လိုင်းကိုဖျက်ပြီး သိမ်းပါ-dd
:wq

သို့သော်၊ အချို့သောတက်ကြွသောလုပ်ငန်းစဉ်များသည် ထပ်ပြီးထပ်ရေးနေသဖြင့်၊ ၎င်းကိုငါစဉ်းစားနေပါသည်။

တစ်ချိန်တည်းမှာပင်၊ installer script မှလိပ်စာများပေါ်တွင်ဆွဲထားသော active wget (သို့မဟုတ် curls) အများအပြားရှိသည် (အောက်တွင်ကြည့်ပါ)၊ ကျွန်ုပ်သည် ၎င်းတို့အား ယခုကဲ့သို့ ခေါက်ထားသော်လည်း ၎င်းတို့သည် ပြန်လည်စတင်သည်-

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

Trojan installer script ကို ဒီမှာ (centos): /usr/local/bin/nptd... အဲဒါကို ရှောင်ဖို့ ပို့စ်တင်တာ မဟုတ်ပါဘူး၊ ဒါပေမယ့် တစ်ယောက်ယောက်က ကူးစက်ခံရပြီး shell script တွေကို နားလည်ရင် ကျေးဇူးပြုပြီး သေချာလေ့လာပါ။

အချက်အလက်တွေ အပ်ဒိတ်လုပ်ထားလို့ ထည့်လိုက်မယ်။

UPD 1- ဖိုင်များကို ဖျက်ခြင်း (ပဏာမ chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root သည် မကူညီခဲ့ပါ၊ ဝန်ဆောင်မှုကို ရပ်တန့်ခြင်း မပြုခဲ့ပါ။ crontab ကို အပြီးအပိုင် ဆုတ်ဖြဲလိုက်ပါ (bin ဖိုင်ကို အမည်ပြောင်းပါ)။

UPD 2- Trojan installer သည် တစ်ခါတစ်ရံတွင် အခြားနေရာများတွင် လဲလျောင်းနေပြီး အရွယ်အစားအလိုက် ရှာဖွေရာတွင် အထောက်အကူဖြစ်စေသည်-
ရှာရန် / -size 19825c

UPD 3/XNUMX/XNUMX- သတိပေးခြင်း! selinux ကိုပိတ်ထားသည့်အပြင်၊ Trojan သည်လည်း၎င်း၏ကိုယ်ပိုင်ကိုထည့်သွင်းသည်။ SSH သော့ ${sshdir}/authorized_keys တွင်။ အောက်ပါအကွက်များကို YES ဟုသတ်မှတ်မထားပါက /etc/ssh/sshd_config တွင် အသက်ဝင်စေပါသည်။
ဟုတ်တယ် PermitRootLogin
RSAAuthentication ဟုတ်ပါတယ်။
PubkeyAuthentication ဟုတ်ကဲ့
ပဲ့တင်သံ UsePAM ဟုတ်တယ်
PasswordAuthentication ဟုတ်ပါတယ်။

UPD 4- ယခုအကျဉ်းချုပ်ပြောရလျှင်- Exim၊ cron (အမြစ်များပါသည့်) ကိုပိတ်ပါ၊ Trojan key ကို ssh မှအမြန်ဖယ်ရှားပြီး sshd config ကိုတည်းဖြတ်ပါ၊ sshd ကိုပြန်လည်စတင်ပါ။ ၎င်းသည် အကူအညီဖြစ်မည်ကို ရှင်းရှင်းလင်းလင်းမသိရသေးသော်လည်း ၎င်းမရှိလျှင် ပြဿနာရှိနေပါသည်။

ကျွန်ုပ်သည် ဖာထေးခြင်း/အပ်ဒိတ်များအကြောင်း မှတ်ချက်များမှ အရေးကြီးသောအချက်အလက်များကို မှတ်စု၏အစသို့ ရွှေ့ထားသောကြောင့် စာဖတ်သူများ ၎င်းကို စတင်နိုင်စေပါသည်။

UPD 5/XNUMX/XNUMX- နောက်တစ်ယောက်က Denny ကရေးတယ်။ Malware သည် WordPress တွင် စကားဝှက်များကို ပြောင်းလဲခဲ့ခြင်း ဖြစ်သည်။

UPD 6/XNUMX/XNUMX- Paulmann သည် ယာယီကုသနည်းကို ပြင်ဆင်ခဲ့သည်။စမ်းကြည့်ရအောင်။ ပြန်လည်စတင်ခြင်း သို့မဟုတ် စက်ပိတ်ပြီးနောက်၊ ဆေးသည် ပျောက်ကွယ်သွားပုံရသည်၊ သို့သော် အနည်းဆုံးတော့ ဤမျှသာဖြစ်သည်။

တည်ငြိမ်သောအဖြေကိုဖန်တီးသူမည်သူမဆို (သို့မဟုတ်) ရှာဖွေတွေ့ရှိသူတိုင်း၊ ကျေးဇူးပြု၍ ရေးပေးပါ၊ သင်သည်များစွာကူညီလိမ့်မည်။

UPD 7/XNUMX/XNUMX- အသုံးပြုသူ clsv ရေးသားသည်

Exim တွင် မပို့ရသေးသောစာကြောင့် ဗိုင်းရပ်စ်သည် ရှင်ပြန်ထမြောက်သည်ဟု မပြောရသေးပါက၊ စာကို ထပ်မံပေးပို့ရန် ကြိုးစားသောအခါ၊ ၎င်းကို ပြန်လည်ရရှိပြီး၊ /var/spool/exim4 တွင် ကြည့်ရှုပါ။

Exim တန်းစီတစ်ခုလုံးကို ဤကဲ့သို့ ရှင်းလင်းနိုင်သည်။
exipick -i | xargs exim -Mrm
တန်းစီအတွင်း ထည့်သွင်းမှုအရေအတွက်ကို စစ်ဆေးနေသည်-
exim -bpc

UPD 8: တဖန် သတင်းအချက်အလက်အတွက် ကျေးဇူးတင်ပါတယ် AnotherDenny: FirstVDS သည် ၎င်းတို့၏ ကုသရေးဇာတ်ညွှန်းဗားရှင်းကို ကမ်းလှမ်းထားပြီး၊ စမ်းသပ်ကြည့်ရအောင်။

UPD 9- ကြည့်ရတာ အလုပ်လုပ်ကိုင်, ကျေးဇူးတင်ပါတယ် Kirill ဇာတ်ညွှန်းအတွက်

အဓိကအချက်မှာ ဆာဗာအား အပေးအယူလုပ်ထားပြီးသားဖြစ်ကြောင်း မမေ့ရန်ဖြစ်ပြီး တိုက်ခိုက်သူများသည် ပုံမှန်မဟုတ်သော ဆိုးရွားသည့်အရာအချို့ကို စိုက်ပျိုးနိုင်ပြီဖြစ်သည် (စက်စက်တွင်မဖော်ပြထားပါ)။

ထို့ကြောင့်၊ အလုံးစုံထည့်သွင်းထားသောဆာဗာ (vds) သို့ ရွှေ့ခြင်းသည် ပိုကောင်းသည် သို့မဟုတ် အနည်းဆုံး ခေါင်းစဉ်ကို ဆက်လက်စောင့်ကြည့်ရန် - အသစ်တစ်စုံတစ်ရာရှိလျှင် ဤနေရာတွင် မှတ်ချက်များရေးပါ၊ အဘယ်ကြောင့်ဆိုသော်၊ လူတိုင်းသည် အသစ်သော တပ်ဆင်မှုသို့ ပြောင်းရွှေ့ကြမည်မဟုတ်သည်မှာ ထင်ရှားပါသည်။

UPD 10- ကျေးဇူးတင်ပါတယ်။ clsvဆာဗာများသာမကဘဲ ကူးစက်ခံရကြောင်း သတိပေးသည်။ Raspberry Piနှင့် virtual machines အမျိုးအစားအားလုံး... ထို့ကြောင့် ဆာဗာများကို သိမ်းဆည်းပြီးနောက်၊ သင်၏ ဗီဒီယိုကွန်ဆိုးများ၊ စက်ရုပ်များ စသည်တို့ကို သိမ်းဆည်းရန် မမေ့ပါနှင့်။

UPD 11- မှ ကုသရေးဇာတ်ညွှန်းရေးသားသူ ကိုယ်တိုင်ကုသပေးသူများအတွက် အရေးကြီးသောမှတ်ချက်-
(ဤ malware ကို တိုက်ဖျက်ရန် နည်းလမ်းတစ်ခု သို့မဟုတ် အခြားနည်းလမ်းကို အသုံးပြုပြီးနောက်)

သေချာပေါက် ပြန်လည်စတင်ရန် လိုအပ်သည် - Malware သည် ဖွင့်ထားသော လုပ်ငန်းစဉ်များတွင် တစ်နေရာရာတွင် ရှိနေပြီး၊ ၎င်းနှင့် လျော်ညီစွာ မန်မိုရီတွင် ၎င်းသည် စက္ကန့် 30 တိုင်း cron တွင် အသစ်တစ်ခု ရေးနေပါသည်။

UPD 12/XNUMX/XNUMX- supersmile2009 ကို တွေ့ရှိခဲ့သည်။ Exim သည် ၎င်း၏တန်းစီဇယားတွင် အခြား(?) malware ရှိပြီး ကုသမှုမစတင်မီ သင်၏ သီးခြားပြဿနာကို ဦးစွာလေ့လာရန် အကြံပြုထားသည်။

UPD 13/XNUMX/XNUMX- သခင်က အကြံပေးသည်။ အဘယ်ကြောင့်ဆိုသော် သန့်ရှင်းသောစနစ်သို့ ပြောင်းရွှေ့ပြီး ဖိုင်များကို အလွန်အမင်း ဂရုတစိုက် လွှဲပြောင်းပါ။ Malware သည် လူသိရှင်ကြား ရရှိထားပြီးဖြစ်ပြီး အခြား၊ လူမသိသူမသိနှင့် ပိုမိုအန္တရာယ်ရှိသော နည်းလမ်းများဖြင့် အသုံးပြုနိုင်ပါသည်။

UPD 14- ထက်မြက်သောလူများသည် အမြစ်မှ မပြေးကြောင်း မိမိကိုယ်ကို စိတ်ချပါ - နောက်တစ်ခု clsv မှ အရေးပေါ်သတင်းစကား:

root မှအလုပ်မလုပ်လျှင်ပင်၊ ဟက်ကာဖြစ်တတ်သည်... ကျွန်ုပ်တွင် debian jessie UPD ရှိသည်- ကျွန်ုပ်၏ OrangePi ပေါ်တွင်ဆန့်သည်၊ Exim သည် Debian-exim မှလည်ပတ်နေပြီးဟက်ကင်းဖြစ်နေဆဲ၊ သရဖူများပျောက်ဆုံးနေသည်၊ စသည်ဖြင့်။

UPD 15- အန္တရာယ်ရှိသောဆာဗာတစ်ခုမှ သန့်ရှင်းသောဆာဗာသို့ ပြောင်းရွှေ့သည့်အခါ တစ်ကိုယ်ရေသန့်ရှင်းရေးကို မမေ့ပါနှင့်။ w0den မှအသုံးဝင်သောသတိပေးချက်:

ဒေတာကို လွှဲပြောင်းသည့်အခါ၊ လည်ပတ်နိုင်သော သို့မဟုတ် ဖွဲ့စည်းမှုပုံစံဖိုင်များကိုသာမက အန္တရာယ်ရှိသော အမိန့်များပါရှိသော မည်သည့်အရာကိုမဆို အာရုံစိုက်ပါ (ဥပမာ၊ MySQL တွင် ၎င်းသည် TRIGGER ဖန်တီးခြင်း သို့မဟုတ် ဖန်တီးခြင်းဖြစ်နိုင်သည်)။ ထို့အပြင်၊ .html၊ .js၊ .php၊ .py နှင့် အခြားသော အများသူငှာ ဖိုင်များအကြောင်း မမေ့ပါနှင့် (ဥပမာအားဖြင့် ဤဖိုင်များကို အခြားဒေတာများကဲ့သို့ ပြည်တွင်း သို့မဟုတ် အခြားယုံကြည်ရသော သိုလှောင်မှုမှ ပြန်လည်ရယူသင့်သည်)။

UPD 16/XNUMX/XNUMX- daykkin и savage_me နောက်ထပ်ပြဿနာတစ်ခုကြုံတွေ့ရသည်။: စနစ်တွင် ဆိပ်ကမ်းများတွင် Exim ဗားရှင်းတစ်ခုကို ထည့်သွင်းထားသော်လည်း လက်တွေ့တွင် အခြားတစ်ခုကို လုပ်ဆောင်နေပါသည်။

ဒါ လူတိုင်းပဲ။ update လုပ်ပြီးရင် သေချာလုပ်သင့်တယ်။ ဗားရှင်းအသစ်ကို သင်အသုံးပြုနေတာလား။

exim --version

သူတို့ရဲ့ သီးခြားအခြေအနေတွေကို အတူတူ ခွဲထုတ်ခဲ့ကြတယ်။

ဆာဗာသည် DirectAdmin နှင့် ၎င်း၏ da_exim ပက်ကေ့ဂျ် (ဗားရှင်းဟောင်း၊ အားနည်းချက်မရှိ) ကို အသုံးပြုခဲ့သည်။

တစ်ချိန်တည်းမှာပင်၊ DirectAdmin ၏ စိတ်ကြိုက်တည်ဆောက်မှု ပက်ကေ့ဂျ်မန်နေဂျာ၏အကူအညီဖြင့်၊ အမှန်တကယ်တွင်၊ အားနည်းချက်ရှိပြီးဖြစ်သော Exim ဗားရှင်းအသစ်ကို ထည့်သွင်းခဲ့သည်။

ဤအခြေအနေမျိုးတွင်၊ custombuild မှတစ်ဆင့် အပ်ဒိတ်လုပ်ခြင်းသည်လည်း အထောက်အကူဖြစ်သည်။

ထိုသို့သောစမ်းသပ်မှုများမတိုင်မီ အရန်ကူးယူရန် မမေ့ပါနှင့်၊ အပ်ဒိတ်မပြီးမီ/အပြီးတွင် Exim လုပ်ငန်းစဉ်များအားလုံးသည် ဗားရှင်းဟောင်းဖြစ်ကြောင်း သေချာပါစေ။ ရပ်တန့်ခဲ့ကြသည်။ ပြီးတော့ မှတ်ဉာဏ်ထဲမှာ “ပိတ်” မနေဘူး။

source: www.habr.com