áááºážááá¯á·ááá±ážááºáá¬áá¬áá»á¬ážááœáẠExim áá¬ážááŸááºáž 4.87...4.91 ááᯠá¡áá¯á¶ážááŒá¯ááá·áº áá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážááẠCVE-4.92-2019 ááŸáá áºááá·áº áááºáááºážáá»á¬ážááᯠááŸá±á¬ááºááŸá¬ážáááºá¡ááœáẠExim ááá¯ááºááá¯ááºááᯠááááºá áááºááá·áºáá²á·ááŒá®áž áá¬ážááŸááºáž 10149 ááá¯á· á¡áá±ážáá±á«áº á¡ááºááááºáá¯ááºáá²á·áááºá
ááá¹áá¬áá
áºááŸááºážááŸá áá¬áá¬áááºážáá±á«ááºážáá»á¬ážá
áœá¬ááẠá¡á¬ážáááºážáá»ááºááŒá
áºááá¯ááºáá»á±ááŸáááŒá®áž á¡á¬ážáááºážáá»ááºááᯠáá±áááºááá¯ááºážááŒá¬ážááá¯ááºááẠ(CVSS 3.0 á¡ááŒá±áá¶áááŸáẠ= 9.8/10)á Attacker áá»á¬ážááẠroot ááŸáá±á áá»á¬ážá
áœá¬áá±á¬ ááá
á¹á
áá»á¬ážááœáẠááá·áºáá¬áá¬ááœáẠáááá¬ážáá±á¬ command áá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºá
áááºááẠáá¯á¶áá±áá¬ážááŸááºáž (4.92) ááá¯á·ááá¯áẠáá¬áá±ážááŒá®ážáá±á¬ áá¬ážááŸááºážááᯠá¡áá¯á¶ážááŒá¯áá±ááŒá±á¬ááºáž áá±áá»á¬áá«á
á±á
ááá¯á·ááá¯áẠááŸáááŒá®ážáá¬ážáá
áºáá¯ááᯠáá¬áá±ážáá«á ááŒáá¯ážááá¯ááŒáá·áºáá«á
Update ááŒá¯áá¯ááºááẠcentos á: á
ááºáá®áá®áá¬á
UPD- Ubuntu ááẠááááá¯ááºáááºá 18.04 ááŸááºá· 18.10áááºážááá¯á·á¡ááœáẠá¡ááºááááºáá
áºáᯠááœááºááŸááá¬áá²á·áááºá áá¬ážááŸááºáž 16.04 ááŸáá·áº 19.04 ááá¯á·ááẠáááºážááá¯á·ááœáẠá
áááºááŒáá¯ááºááœá±ážáá»ááºá
áá¬áá»á¬ážááᯠááá·áºááœááºážááá¬ážáá«á áááºáá±á¬ááºááŸá¯áááŸááá«á á¡áá±ážá
áááºá¡áá»ááºáá»á¬áž
ááá¯á¡áá«ááœáẠáá±á¬áºááŒáá¬ážáá±á¬ ááŒá¿áá¬ááẠ(bot áá áºáá¯á á¡áá¯á¶ážáá»áá±ááŒááºážáᯠáá°áááááº)á á¡áá»áá¯á·áá±á¬ áá¬áá¬áá»á¬ážááœáẠáá°ážá ááºááŸá¯áá áºáᯠ(4.91 ááœáẠáá¯ááºáá±á¬ááºáá±áááº) áááááŒá¯áááá«áááºá
áááºáááºáááºááŸá¯ááŒááºážááẠ"áááŒá®ážáá¬áž" áá°áá»á¬ážá¡ááœááºáᬠáááºááá¯ááºááẠ- áááºááẠá¡áá¬á¡á¬ážáá¯á¶ážááᯠááá·áºááŸááºážáááºáááºáá±á¬ áá±á¬á·ááºáá²ááºááŒáá·áº ááá·áºááŸááºážáá±á¬ VPS ááá¯á· ááá¯á·áá±á¬ááºááẠááá¯á·ááá¯áẠááŒá±ááŸááºážáá»ááºááŸá¬ááẠááá¯á¡ááºáááºá áá«ááá¯á·ááŒáá¯ážá á¬ážáááá¬áž áááºáá°áááᯠဠmalware ááᯠáá»á±á¬áºááœáŸá¬ážááá¯ááºáá»áŸáẠá á¬áá±ážáá«á
á¡áááºá áááºááẠExim á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááŒá áºááŒá®áž áááºážááá¯áááºááŸá¯ááŒááºážááŒá áºáá«á á¡ááºááááºááá¯ááºááá±ážáá«á (4.92 ááá¯á·ááá¯áẠpatched áá¬ážááŸááºážááá¯áááŸáááá¯ááºááŒá±á¬ááºáž ááá±áá»á¬áá±ážáá«) áá»á±ážáá°ážááŒá¯á áááºááŒá®áž á¡ááºááááºáá¯ááºááẠáá¯ááºáá±á¬ááºáá«á
áááŒá®ážáá¬ážáá°ááœá±á¡ááœáẠáááºááá¯ááºááŒáá¡á±á¬ááº...
UPD:
Malware á¡áá»áá¯ážáá»áá¯áž ááŸáááá¯ááºáá«áááºá ááŸá¬ážááœááºážáá±á¬ áá±ážáá«ážááᯠá áááºáá¯á¶ážá áœá²ááŒá®áž áááºážá á®ááŒááºážááᯠááŸááºážáááºážááŒááºážááŒáá·áº á¡áá¯á¶ážááŒá¯áá°ááẠáá»á±á¬ááºáááºážááœá¬ážáááºááá¯ááºááá·áºá¡ááŒáẠáá¯áááẠááá¯á¡ááºáááºááá¯áááºáž áááááá¯ááºáá±á
áá°ážá ááºááŸá¯ááŸá¬ á€áá²á·ááá¯á· áááá¬áááºááŸá¬ážáááº- [kthrotlds] áááá¯áááºáá¬ááᯠáááºáááºá á¡á¬ážáááºážáá±á¬ VDS ááœáẠáááºážááẠ100% áá¬áá¬áá»á¬ážááœáẠá¡á¬ážáááºážáá±á¬áºáááºáž áááá¬áááºá
áá°ážá ááºáá¶áááŒá®ážáá±á¬ááºá malware ááẠcron ááá¯ááºáá»á¬ážááᯠáááŒá±á¬ááºážáá²ááá¯ááºáá² 4 áááá áºááá¯ááºáž run ááẠáááºážááœááºáᬠá á¬áááºážááœááºážáᬠcron ááá¯ááºááᯠáá»ááºáá áºáá«áááºá Crontab -e á¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááᯠááááºážáááºážááááá«á á¡ááŸá¬ážáá áºáá¯áá±ážáááºá
áááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ á¥ááá¬á¡á¬ážááŒáá·áº á€áá²á·ááá¯á· áááºááŸá¬ážááá¯ááºááŒá®áž á¡áááá·áºáá±ážá á¬ááŒá±á¬ááºáž (1.5kb) ááᯠáá»ááºáá«-
chattr -i /var/spool/cron/root
crontab -e
ááá¯á·áá±á¬ááºá crontab áááºážááŒááºáá° (vim) ááœáẠááá¯ááºážááá¯áá»ááºááŒá®áž ááááºážáá«-dd
:wq
ááá¯á·áá±á¬áºá á¡áá»áá¯á·áá±á¬áááºááŒáœáá±á¬áá¯ááºáááºážá ááºáá»á¬ážááẠáááºááŒá®ážáááºáá±ážáá±áááŒáá·áºá áááºážááá¯áá«á ááºážá á¬ážáá±áá«áááºá
áá áºáá»áááºáááºážááŸá¬áááºá installer script ááŸááááºá á¬áá»á¬ážáá±á«áºááœááºááœá²áá¬ážáá±á¬ active wget (ááá¯á·ááá¯áẠcurls) á¡áá»á¬ážá¡ááŒá¬ážááŸáááẠ(á¡á±á¬ááºááœááºááŒáá·áºáá«)á áá»áœááºá¯ááºááẠáááºážááá¯á·á¡á¬áž ááá¯áá²á·ááá¯á· áá±á«ááºáá¬ážáá±á¬áºáááºáž áááºážááá¯á·ááẠááŒááºáááºá áááºáááº-
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Trojan installer script ááᯠáá®ááŸá¬ (centos): /usr/local/bin/nptd... á¡á²áá«ááᯠááŸá±á¬ááºááá¯á· ááá¯á·á áºáááºáᬠááá¯ááºáá«áá°ážá áá«áá±ááá·áº áá áºáá±á¬ááºáá±á¬ááºá áá°ážá ááºáá¶áááŒá®áž shell script ááœá±ááᯠáá¬ážáááºááẠáá»á±ážáá°ážááŒá¯ááŒá®áž áá±áá»á¬áá±á·áá¬áá«á
á¡áá»ááºá¡áááºááœá± á¡ááºááááºáá¯ááºáá¬ážááá¯á· ááá·áºááá¯ááºáááºá
UPD 1- ááá¯ááºáá»á¬ážááᯠáá»ááºááŒááºáž (ááá¬á chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ááẠááá°áá®áá²á·áá«á áááºáá±á¬ááºááŸá¯ááᯠáááºááá·áºááŒááºáž áááŒá¯áá²á·áá«á crontab ááᯠá¡ááŒá®ážá¡ááá¯áẠáá¯ááºááŒá²ááá¯ááºáá« (bin ááá¯ááºááᯠá¡áááºááŒá±á¬ááºážáá«)á
UPD 2- Trojan installer ááẠáá
áºáá«áá
áºáá¶ááœáẠá¡ááŒá¬ážáá±áá¬áá»á¬ážááœáẠáá²áá»á±á¬ááºážáá±ááŒá®áž á¡ááœááºá¡á
á¬ážá¡ááá¯áẠááŸá¬ááœá±áá¬ááœáẠá¡áá±á¬ááºá¡áá°ááŒá
áºá
á±áááº-
ááŸá¬ááẠ/ -size 19825c
UPD 3/XNUMX/XNUMX- ááááá±ážááŒááºáž! selinux ááá¯ááááºáá¬ážááá·áºá¡ááŒááºá Trojan áááºáááºážáááºážáááá¯ááºááá¯ááºááá¯ááá·áºááœááºážáááºá SSH áá±á¬á· ${sshdir}/authorized_keys ááœááºá á¡á±á¬ááºáá«á¡ááœááºáá»á¬ážááᯠYES áá¯áááºááŸááºááá¬ážáá«á /etc/ssh/sshd_config ááœáẠá¡áááºáááºá
á±áá«áááºá
áá¯ááºááẠPermitRootLogin
RSAAuthentication áá¯ááºáá«áááºá
PubkeyAuthentication áá¯ááºáá²á·
áá²á·áááºáᶠUsePAM áá¯ááºáááº
PasswordAuthentication áá¯ááºáá«áááºá
UPD 4- ááá¯á¡áá»ááºážáá»á¯ááºááŒá±á¬ááá»áŸááº- Eximá cron (á¡ááŒá áºáá»á¬ážáá«ááá·áº) ááá¯ááááºáá«á Trojan key ááᯠssh ááŸá¡ááŒááºáááºááŸá¬ážááŒá®áž sshd config ááá¯áááºážááŒááºáá«á sshd ááá¯ááŒááºáááºá áááºáá«á áááºážááẠá¡áá°á¡áá®ááŒá áºáááºááᯠááŸááºážááŸááºážáááºážáááºážáááááá±ážáá±á¬áºáááºáž áááºážáááŸááá»áŸáẠááŒá¿áá¬ááŸááá±áá«áááºá
áá»áœááºá¯ááºááẠáá¬áá±ážááŒááºáž/á¡ááºááááºáá»á¬ážá¡ááŒá±á¬ááºáž ááŸááºáá»ááºáá»á¬ážá០á¡áá±ážááŒá®ážáá±á¬á¡áá»ááºá¡áááºáá»á¬ážááᯠááŸááºá á¯áá¡á ááá¯á· ááœáŸá±á·áá¬ážáá±á¬ááŒá±á¬áá·áº á á¬áááºáá°áá»á¬áž áááºážááᯠá áááºááá¯ááºá á±áá«áááºá
UPD 5/XNUMX/XNUMX-
UPD 6/XNUMX/XNUMX-
áááºááŒáááºáá±á¬á¡ááŒá±ááá¯áááºáá®ážáá°áááºáá°áááᯠ(ááá¯á·ááá¯ááº) ááŸá¬ááœá±ááœá±á·ááŸááá°ááá¯ááºážá áá»á±ážáá°ážááŒá¯á áá±ážáá±ážáá«á áááºáááºáá»á¬ážá áœá¬áá°áá®áááá·áºáááºá
UPD 7/XNUMX/XNUMX-
Exim ááœáẠáááá¯á·ááá±ážáá±á¬á á¬ááŒá±á¬áá·áº ááá¯ááºážáááºá áºááẠááŸááºááŒááºáááŒá±á¬ááºáááºáᯠáááŒá±á¬ááá±ážáá«áá á á¬ááᯠáááºáá¶áá±ážááá¯á·ááẠááŒáá¯ážá á¬ážáá±á¬á¡áá«á áááºážááᯠááŒááºáááºáááŸáááŒá®ážá /var/spool/exim4 ááœáẠááŒáá·áºááŸá¯áá«á
Exim áááºážá
á®áá
áºáá¯áá¯á¶ážááᯠá€áá²á·ááá¯á· ááŸááºážáááºážááá¯ááºáááºá
exipick -i | xargs exim -Mrm
áááºážá
á®á¡ááœááºáž ááá·áºááœááºážááŸá¯á¡áá±á¡ááœááºááᯠá
á
áºáá±ážáá±áááº-
exim -bpc
UPD 8: ááááº
UPD 9- ááŒáá·áºááᬠá¡áá¯ááºáá¯ááºááá¯ááº, áá»á±ážáá°ážáááºáá«áááº
á¡áááá¡áá»ááºááŸá¬ áá¬áá¬á¡á¬áž á¡áá±ážá¡áá°áá¯ááºáá¬ážááŒá®ážáá¬ážááŒá áºááŒá±á¬ááºáž ááá±á·áááºááŒá áºááŒá®áž ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¯á¶ááŸááºááá¯ááºáá±á¬ ááá¯ážááœá¬ážááá·áºá¡áá¬á¡áá»áá¯á·ááᯠá áá¯ááºáá»áá¯ážááá¯ááºááŒá®ááŒá áºááẠ(á ááºá ááºááœááºááá±á¬áºááŒáá¬ážáá«)á
ááá¯á·ááŒá±á¬áá·áºá á¡áá¯á¶ážá á¯á¶ááá·áºááœááºážáá¬ážáá±á¬áá¬áᬠ(vds) ááá¯á· ááœáŸá±á·ááŒááºážááẠááá¯áá±á¬ááºážááẠááá¯á·ááá¯áẠá¡áááºážáá¯á¶áž áá±á«ááºážá ááºááᯠáááºáááºá á±á¬áá·áºááŒáá·áºááẠ- á¡áá áºáá áºá á¯á¶áá áºáá¬ááŸááá»áŸáẠá€áá±áá¬ááœáẠááŸááºáá»ááºáá»á¬ážáá±ážáá«á á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áºá áá°ááá¯ááºážááẠá¡áá áºáá±á¬ áááºáááºááŸá¯ááá¯á· ááŒá±á¬ááºážááœáŸá±á·ááŒáááºááá¯ááºáááºááŸá¬ áááºááŸá¬ážáá«áááºá
UPD 10- áá»á±ážáá°ážáááºáá«áááºá
UPD 11- ááŸ
(ဠmalware ááᯠááá¯ááºáá»ááºááẠáááºážáááºážáá
áºáᯠááá¯á·ááá¯áẠá¡ááŒá¬ážáááºážáááºážááᯠá¡áá¯á¶ážááŒá¯ááŒá®ážáá±á¬ááº)
áá±áá»á¬áá±á«áẠááŒááºáááºá áááºááẠááá¯á¡ááºááẠ- Malware ááẠááœáá·áºáá¬ážáá±á¬ áá¯ááºáááºážá ááºáá»á¬ážááœáẠáá áºáá±áá¬áá¬ááœáẠááŸááá±ááŒá®ážá áááºážááŸáá·áº áá»á±á¬áºáá®á áœá¬ áááºááá¯áá®ááœáẠáááºážááẠá áá¹ááá·áº 30 ááá¯ááºáž cron ááœáẠá¡áá áºáá áºáᯠáá±ážáá±áá«áááºá
UPD 12/XNUMX/XNUMX-
UPD 13/XNUMX/XNUMX-
UPD 14- áááºááŒááºáá±á¬áá°áá»á¬ážááẠá¡ááŒá
áºá០áááŒá±ážááŒá±á¬ááºáž ááááááá¯ááºááᯠá
áááºáá»áá« - áá±á¬ááºáá
áºáá¯
root ááŸá¡áá¯ááºááá¯ááºáá»áŸááºáááºá áááºáá¬ááŒá áºáááºáááº... áá»áœááºá¯ááºááœáẠdebian jessie UPD ááŸááááº- áá»áœááºá¯ááºá OrangePi áá±á«áºááœááºááá·áºáááºá Exim ááẠDebian-exim ááŸáááºáááºáá±ááŒá®ážáááºáááºážááŒá áºáá±áá²á áááá°áá»á¬ážáá»á±á¬ááºáá¯á¶ážáá±áááºá á áááºááŒáá·áºá
UPD 15- á¡áá¹ááá¬ááºááŸááá±á¬áá¬áá¬áá
áºáá¯á០ááá·áºááŸááºážáá±á¬áá¬áá¬ááá¯á· ááŒá±á¬ááºážááœáŸá±á·ááá·áºá¡áá« áá
áºááá¯ááºáá±ááá·áºááŸááºážáá±ážááᯠááá±á·áá«ááŸáá·áºá
áá±áá¬ááᯠááœáŸá²ááŒá±á¬ááºážááá·áºá¡áá«á áááºáááºááá¯ááºáá±á¬ ááá¯á·ááá¯áẠááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááá¯ááºáá»á¬ážááá¯áá¬áá á¡áá¹ááá¬ááºááŸááá±á¬ á¡áááá·áºáá»á¬ážáá«ááŸááá±á¬ áááºááá·áºá¡áá¬ááá¯áááᯠá¡á¬áá¯á¶á áá¯ááºáá« (á¥ááá¬á MySQL ááœáẠáááºážááẠTRIGGER áááºáá®ážááŒááºáž ááá¯á·ááá¯áẠáááºáá®ážááŒááºážááŒá áºááá¯ááºáááº)á ááá¯á·á¡ááŒááºá .htmlá .jsá .phpá .py ááŸáá·áº á¡ááŒá¬ážáá±á¬ á¡áá»á¬ážáá°ááŸá¬ ááá¯ááºáá»á¬ážá¡ááŒá±á¬ááºáž ááá±á·áá«ááŸáá·áº (á¥ááá¬á¡á¬ážááŒáá·áº á€ááá¯ááºáá»á¬ážááᯠá¡ááŒá¬ážáá±áá¬áá»á¬ážáá²á·ááá¯á· ááŒááºááœááºáž ááá¯á·ááá¯áẠá¡ááŒá¬ážáá¯á¶ááŒááºááá±á¬ ááá¯ááŸá±á¬ááºááŸá¯á០ááŒááºáááºááá°ááá·áºáááº)á
UPD 16/XNUMX/XNUMX-
áá« áá°ááá¯ááºážáá²á update áá¯ááºááŒá®ážááẠáá±áá»á¬áá¯ááºááá·áºáááºá áá¬ážááŸááºážá¡áá áºááᯠáááºá¡áá¯á¶ážááŒá¯áá±áá¬áá¬ážá
exim --version
áá°ááá¯á·áá²á· áá®ážááŒá¬ážá¡ááŒá±á¡áá±ááœá±ááᯠá¡áá°áá° ááœá²áá¯ááºáá²á·ááŒáááºá
áá¬áá¬ááẠDirectAdmin ááŸáá·áº áááºážá da_exim áááºáá±á·áá»áº (áá¬ážááŸááºážáá±á¬ááºážá á¡á¬ážáááºážáá»ááºáááŸá) ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
áá áºáá»áááºáááºážááŸá¬áááºá DirectAdmin á á áááºááŒáá¯ááºáááºáá±á¬ááºááŸá¯ áááºáá±á·áá»áºáááºáá±áá»á¬áá¡áá°á¡áá®ááŒáá·áºá á¡ááŸááºááááºááœááºá á¡á¬ážáááºážáá»ááºááŸáááŒá®ážááŒá áºáá±á¬ Exim áá¬ážááŸááºážá¡áá áºááᯠááá·áºááœááºážáá²á·áááºá
á€á¡ááŒá±á¡áá±áá»áá¯ážááœááºá custombuild ááŸáá áºááá·áº á¡ááºááááºáá¯ááºááŒááºážáááºáááºáž á¡áá±á¬ááºá¡áá°ááŒá áºáááºá
ááá¯ááá¯á·áá±á¬á
ááºážáááºááŸá¯áá»á¬ážáááá¯ááºáá® á¡áááºáá°ážáá°ááẠááá±á·áá«ááŸáá·áºá á¡ááºááááºáááŒá®ážáá®/á¡ááŒá®ážááœáẠExim áá¯ááºáááºážá
ááºáá»á¬ážá¡á¬ážáá¯á¶ážááẠáá¬ážááŸááºážáá±á¬ááºážááŒá
áºááŒá±á¬ááºáž áá±áá»á¬áá«á
á±á
source: www.habr.com