هغه همکاران چې په خپلو میل سرورونو کې د Exim 4.87...4.91 نسخه کاروي - په سمدستي توګه 4.92 نسخه ته تازه کوي، مخکې له دې چې د CVE-2019-10149 له لارې د هیک کولو څخه مخنیوي لپاره پخپله Exim بند کړي.
په ټوله نړۍ کې څو ملیونه سرورونه په احتمالي توګه زیان منونکي دي، زیانمنونکي د مهم په توګه درجه بندي شوي (CVSS 3.0 بیس سکور = 9.8/10). برید کونکي کولی شي ستاسو په سرور کې خپل سري حکمونه پرمخ بوځي، په ډیری قضیو کې له روټ څخه.
مهرباني وکړئ ډاډ ترلاسه کړئ چې تاسو یو ثابت نسخه کاروئ (4.92) یا یو چې دمخه پیچ شوی وي.
یا موجوده یو پیچ کړئ، تار وګورئ .
لپاره تازه کول مرکزونه 6: سانتي متر. - د سینټوس 7 لپاره دا هم کار کوي ، که دا لاهم مستقیم له ایپل څخه نه وي راغلی.
UPD: اوبنټو اغیزمن شوی 18.04 او 18.10، د دوی لپاره تازه خپور شوی. 16.04 او 19.04 نسخې اغیزمن ندي تر هغه چې دودیز اختیارونه په دوی نصب شوي نه وي. نور جزیات .
اوس دلته تشریح شوې ستونزه په فعاله توګه کارول کیږي (د بوټ لخوا، احتمال لري)، ما په ځینو سرورونو کې انفیکشن ولیدل (په 4.91 کې روان دی).
نور لوستل یوازې د هغو کسانو لپاره اړین دي چې دمخه یې "ترلاسه کړي" دي - تاسو اړتیا لرئ یا د تازه سافټویر سره پاک VPS ته هرڅه ولیږدوئ ، یا د حل په لټه کې شئ. ایا موږ هڅه وکړو؟ ولیکئ که څوک په دې مالویر بریالي شي.
که تاسو، د Exim کارونکي یاست او دا یې لوستلئ، لا تر اوسه یې تازه نه دی کړی (دا ډاډه نه یاست چې 4.92 یا پیچ شوی نسخه شتون لري)، مهرباني وکړئ ودریږئ او د تازه کولو لپاره ودریږئ.
د هغو کسانو لپاره چې لا دمخه هلته رسیدلي، راځئ چې دوام ورکړو ...
UPD: او سمه مشوره ورکوي:
کیدای شي د مالویر لوی ډول وي. د غلط کار لپاره د درملو په پیل کولو او د قطار پاکولو سره، کاروونکي به روغ نشي او ممکن نه پوهیږي چې د هغه څه لپاره چې درملنې ته اړتیا لري.
انفیکشن د دې په څیر د پام وړ دی: [kthrotlds] پروسیسر بار کوي؛ په ضعیف VDS کې دا 100٪ دی ، په سرورونو کې دا ضعیف مګر د پام وړ دی.
د انفیکشن وروسته، مالویر د کرون ننوتل حذف کوي، په هر 4 دقیقو کې د چلولو لپاره یوازې ځان هلته راجستر کوي، پداسې حال کې چې د کرونټاب فایل بدلیدونکی کوي. Crontab -e بدلونونه نشي خوندي کولی، تېروتنه ورکوي.
غیر بدلیدونکی لرې کیدی شي ، د مثال په توګه ، د دې په څیر ، او بیا د کمانډ لاین حذف کړئ (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
بیا، د کرونټاب مدیر (vim) کې، لاین حذف کړئ او خوندي کړئ:dd
:wq
په هرصورت، ځینې فعالې پروسې بیا بیا لیکل کیږي، زه یې په ګوته کوم.
په ورته وخت کې ، د انسټالر سکریپټ څخه په ادرسونو کې د فعال ویجټونو (یا curls) یوه ډله شتون لري (لاندې وګورئ) ، زه یې د اوس لپاره ورته ښکته کوم ، مګر دوی بیا پیل کوي:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
ما دلته د Trojan انسټالر سکریپټ وموندل (centos): /usr/local/bin/nptd... زه یې د مخنیوي لپاره نه پوسټ کوم، مګر که څوک په دې ناروغۍ اخته وي او د شیل سکریپټ پوهیږي، مهرباني وکړئ دا په ډیر دقت سره مطالعه کړئ.
زه به اضافه کړم لکه څنګه چې معلومات تازه کیږي.
UPD 1: د فایلونو حذف کول (د لومړني چتر -i سره) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root مرسته ونه کړه ، او نه یې د خدماتو مخه ونیوله - ما باید crontab د اوس لپاره په بشپړ ډول دا له مینځه وړئ (د بن فایل نوم بدل کړئ).
UPD 2: د ټروجن انسټالر ځینې وختونه په نورو ځایونو کې هم پروت و، د اندازې له مخې لټون مرسته وکړه:
ومومئ / -size 19825c
UPD 3/XNUMX/XNUMX: پاملرنه وکړئ! د سیلینکس غیر فعال کولو سربیره، ټروجن هم خپل اضافه کوي د SSH کیلي په ${sshdir}/authorized_keys کې! او لاندې ساحې په /etc/ssh/sshd_config کې فعالوي، که دوی لا دمخه YES ته ندي ټاکل شوي:
پرمټ روټ لوګین هو
د RSAA تصدیق هو
د PubkeyAuthentication هو
echo UsePAM هو
د رمز تصدیق کول هو
UPD 4: د اوس لپاره لنډیز کولو لپاره: Exim غیر فعال کړئ، کرون (د ریښو سره)، په سمدستي توګه د ټروجن کیلي له ssh څخه لیرې کړئ او د sshd تشکیل ترمیم کړئ، sshd بیا پیل کړئ! او دا لاهم روښانه نده چې دا به مرسته وکړي ، مګر پرته له دې کومه ستونزه شتون لري.
ما د پیچونو / تازه معلوماتو په اړه د نظرونو څخه مهم معلومات د یادښت پیل ته لیږدولي، ترڅو لوستونکي یې پیل کړي.
UPD 5/XNUMX/XNUMX: دا چې مالویر په WordPress کې پاسورډونه بدل کړي.
UPD 6/XNUMX/XNUMX: ، راځئ چې ازموینه وکړو! د ریبوټ یا بندیدو وروسته ، داسې بریښي چې درمل ورک شي ، مګر د اوس لپاره لږترلږه دا دی.
هرڅوک چې یو باثباته حل پیدا کړي (یا ومومي)، مهرباني وکړئ ولیکئ، تاسو به د ډیرو سره مرسته وکړئ.
UPD 7/XNUMX/XNUMX: لیکي:
که تاسو دمخه نه وي ویلي چې ویروس په Exim کې د نه لیږل شوي لیک له امله ژوندی شوی ، کله چې تاسو د لیک بیا لیږلو هڅه وکړئ ، دا بیرته راګرځي ، په /var/spool/exim4 کې وګورئ.
تاسو کولی شئ د Exim ټول قطار په دې ډول پاک کړئ:
exipick -i | xargs exim - ښاغلی
په کتار کې د ننوتلو شمیره چک کول:
exim -bpc
UPD 8: بیا : FirstVDS د درملنې سکریپټ نسخه وړاندې کړه، راځئ چې دا ازموینه وکړو!
UPD 9: داسې ښکاري د، مننه د سکریپټ لپاره!
اصلي شی دا مه هیروئ چې سرور لا دمخه جوړ شوی و او برید کونکي کولی شي یو څه نور غیر معمولي ناوړه شیان کښت کړي (په ډراپر کې لیست شوي ندي).
له همدې امله ، دا غوره ده چې په بشپړ ډول نصب شوي سرور (vds) ته لاړشئ ، یا لږترلږه د موضوع څارنې ته دوام ورکړئ - که چیرې څه نوي وي ، دلته په نظرونو کې ولیکئ ، ځکه چې په ښکاره ډول هرڅوک به نوي نصب ته لاړ نشي ...
UPD 10: بیا مننه : دا یادونه کوي چې نه یوازې سرورونه اخته شوي، بلکې هم راسبری پییر، او هر ډول مجازی ماشینونه ... نو د سرورونو خوندي کولو وروسته ، خپل ویډیو کنسولونه ، روبوټونه او نور خوندي کول مه هیروئ.
UPD 11: له د لاسي معالجې لپاره مهم یادونه:
(د دې مالویر سره د مبارزې لپاره د یو یا بل میتود کارولو وروسته)
تاسو خامخا ریبوټ ته اړتیا لرئ - مالویر په خلاص پروسو کې یو ځای ناست دی او په وینا یې په حافظه کې ، او په هر 30 ثانیو کې د کرون کولو لپاره ځان ته یو نوی لیکي.
UPD 12/XNUMX/XNUMX: Exim په خپل کتار کې یو بل (؟) مالویر لري او تاسو ته مشوره درکوي چې د درملنې پیل کولو دمخه لومړی خپله ځانګړې ستونزه مطالعه کړئ.
UPD 13/XNUMX/XNUMX: پرځای یې، پاک سیسټم ته لاړ شئ، او فایلونه په خورا احتیاط سره انتقال کړئ، ځکه مالویر لا دمخه په عامه توګه شتون لري او په نورو، لږ څرګند او خورا خطرناکو لارو کې کارول کیدی شي.
UPD 14: ځان ته ډاډ ورکول چې هوښیار خلک له ریښو څخه نه تښتي - یو بل شی :
حتی که دا له روټ څخه کار ونکړي ، هیکینګ پیښیږي ... زه دبیان جیسي UPD لرم: زما اورینج پی ته وغځوئ ، Exim د Debian-exim څخه روانه ده او لاهم هیک کول پیښ شوي ، تاجونه له لاسه ورکړي ، او داسې نور.
UPD 15: کله چې له جوړ شوي څخه پاک سرور ته لاړشئ ، د حفظ الصحې په اړه مه هیروئ ، :
کله چې د ډیټا لیږد کول ، نه یوازې د اجرا وړ یا ترتیب کولو فایلونو ته پاملرنه وکړئ ، بلکه هر هغه څه ته چې ممکن ناوړه حکمونه ولري (د مثال په توګه ، په MySQL کې دا کیدی شي CREATE TRIGGER یا CREATE EVENT وي). همدارنګه، د .html، .js، .php، .py او نورو عامه فایلونو په اړه مه هېروئ (په مثالي توګه دا فایلونه، لکه د نورو معلوماتو په څیر، باید د ځایی یا نورو باوري ذخیرې څخه بیرته وساتل شي).
UPD 16/XNUMX/XNUMX: и : سیسټم په بندرونو کې د Exim یوه نسخه نصب کړې وه، مګر په حقیقت کې دا بله روانه وه.
نو هرڅوک د تازه کولو وروسته تاسو باید ډاډ ترلاسه کړئ که تاسو نوې نسخه کاروئ!
exim --versionموږ د دوی ځانګړي وضعیت په ګډه حل کړ.
سرور DirectAdmin او د هغې زوړ da_exim بسته کارولې (زاړه نسخه، پرته له زیانمننې).
په ورته وخت کې، د DirectAdmin د ګمرک جوړونې بسته مدیر په مرسته، په حقیقت کې، د Exim نوې نسخه بیا نصب شوه، کوم چې دمخه زیانمن شوی و.
پدې ځانګړي حالت کې ، د ګمرک جوړونې له لارې تازه کول هم مرسته کړې.
مه هیروئ چې د داسې تجربو دمخه بیک اپ جوړ کړئ، او دا هم ډاډه کړئ چې د تازه کولو دمخه / وروسته د Exim ټولې پروسې د زاړه نسخې څخه دي. او په حافظه کې "بند" نه وي.
سرچینه: www.habr.com