ساٿي جيڪي Exim ورجن 4.87...4.91 استعمال ڪن ٿا پنھنجن ميل سرورز تي - فوري طور تي ورجن 4.92 تي اپ ڊيٽ ڪريو، اڳي ئي پاڻ Exim کي روڪي ڇڏيو ھو ته جيئن CVE-2019-10149 ذريعي هيڪنگ کان بچڻ لاءِ.
دنيا جا ڪيترائي ملين سرور ممڪن طور تي خطرناڪ آهن، خطري کي نازڪ قرار ڏنو ويو آهي (CVSS 3.0 بنيادي سکور = 9.8/10). حملو ڪندڙ توهان جي سرور تي صوابديدي حڪم هلائي سگهن ٿا، ڪيترن ئي ڪيسن ۾ روٽ کان.
مھرباني ڪري پڪ ڪريو ته توھان استعمال ڪري رھيا آھيو ھڪڙو مقرر ٿيل نسخو (4.92) يا ھڪڙو جيڪو اڳ ۾ ئي پيچ ڪيو ويو آھي.
يا موجوده ھڪڙي کي ڇڪيو، موضوع ڏسو
لاء تازه ڪاري سوينٽيٽيڪل 6: سي ايم
UPD: Ubuntu متاثر ٿيو آهي 18.04 ۽ 18.10، انهن لاءِ هڪ تازه ڪاري جاري ڪئي وئي آهي. نسخا 16.04 ۽ 19.04 متاثر نه ٿيندا جيستائين انهن تي ڪسٽم آپشن نصب نه ڪيا ويا. وڌيڪ تفصيل
ھاڻي مسئلو بيان ڪيو ويو آھي فعال طور تي استحصال ڪيو پيو وڃي (ھڪ بوٽ طرفان، ممڪن آھي)، مون ڪجھ سرورز تي ھڪڙو انفيڪشن محسوس ڪيو (4.91 تي ھلندڙ).
وڌيڪ پڙهڻ صرف انهن لاءِ لاڳاپيل آهي جيڪي اڳ ۾ ئي ”حاصل ڪري چڪا آهن“ - توهان کي يا ته هر شي کي نئين سافٽ ويئر سان صاف VPS ڏانهن منتقل ڪرڻ جي ضرورت آهي، يا هڪ حل ڳوليو. ڇا اسان ڪوشش ڪريون؟ لکو جيڪڏهن ڪو به هن مالويئر تي غالب ٿي سگهي ٿو.
جيڪڏهن توهان، هڪ Exim استعمال ڪندڙ آهيو ۽ هن کي پڙهي رهيا آهيو، اڃا تائين اپڊيٽ نه ڪيو آهي (پڪ نه ڪيو آهي ته 4.92 يا پيچ ٿيل نسخو موجود آهي)، مهرباني ڪري روڪيو ۽ اپڊيٽ ڪرڻ لاء هلايو.
انهن لاءِ جيڪي اڳ ۾ ئي پهچي چڪا آهن، اچو ته جاري رکون...
يو ايس ڊي
هتي مالويئر جي وڏي قسم ٿي سگهي ٿي. غلط شيءِ لاءِ دوا شروع ڪرڻ ۽ قطار کي صاف ڪرڻ سان، استعمال ڪندڙ کي علاج نه ڪيو ويندو ۽ شايد اهو نه ڄاڻندو ته هن کي ڪهڙي علاج جي ضرورت آهي.
انفيڪشن هن طرح قابل ذڪر آهي: [kthrotlds] پروسيسر کي لوڊ ڪري ٿو؛ هڪ ڪمزور VDS تي اهو 100٪ آهي، سرور تي اهو ڪمزور آهي پر قابل ذڪر آهي.
انفيڪشن کان پوءِ، مالويئر ڪرون انٽريز کي ڊليٽ ڪري ٿو، صرف اتي ئي رجسٽر ڪري ٿو هر 4 منٽن تي هلائڻ لاءِ، جڏهن ته ڪروناب فائل کي ناقابل بدلائي ٿو. ڪرنٽاب - اي تبديلين کي محفوظ نٿو ڪري سگھي، غلطي ڏئي ٿو.
Immutable کي ختم ڪري سگھجي ٿو، مثال طور، ھن وانگر، ۽ پوءِ ڪمانڊ لائن کي ختم ڪريو (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
اڳيون، ڪرنٽاب ايڊيٽر (vim) ۾، لائن کي ختم ڪريو ۽ محفوظ ڪريو:dd
:wq
جڏهن ته، ڪجهه فعال عمل ٻيهر لکندا آهن، مان ان کي ڳولي رهيو آهيان.
ساڳئي وقت، انسٽالر اسڪرپٽ (هيٺ ڏسو) جي پتي تي فعال ويجسٽس (يا ڪرل) جو هڪ گروپ لٽڪيل آهي (هيٺ ڏسو)، مان انهن کي هن وقت تائين هن طرح ڇڪي رهيو آهيان، پر اهي ٻيهر شروع ڪن ٿا:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
مون کي هتي Trojan انسٽالر اسڪرپٽ مليو (centos): /usr/local/bin/nptd... مان ان کي ان کان بچڻ لاءِ پوسٽ نه ڪري رهيو آهيان، پر جيڪڏهن ڪو متاثر ٿيل آهي ۽ شيل اسڪرپٽ سمجهي ٿو، مهرباني ڪري ان کي وڌيڪ ڌيان سان پڙهو.
مان شامل ڪندس جيئن معلومات اپڊيٽ ڪئي ويندي.
UPD 1: فائلن کي حذف ڪرڻ (ابتدائي چٽ سان -i) /etc/cron.d/root، /etc/crontab، rm -Rf /var/spool/cron/root مدد نه ڪئي، ۽ نه ئي خدمت کي روڪيو - مون کي ڪرڻو پيو crontab مڪمل طور تي ھاڻي ان کي ٽوڙيو (بن فائل جو نالو تبديل ڪريو).
UPD 2: ٽروجن انسٽالر ڪڏهن ڪڏهن ٻين هنڌن جي چوڌاري به بيٺو هو، سائيز جي ڳولا ۾ مدد ڪئي:
ڳولھيو / -size 19825c
UPD 3/XNUMX/XNUMX: مهرباني ڪري ڏسو! سيلينڪس کي غير فعال ڪرڻ کان علاوه، ٽرجن پڻ پنهنجو پاڻ کي شامل ڪري ٿو SSH چيڪ ${sshdir}/authorized_keys ۾! ۽ هيٺ ڏنل شعبن کي چالو ڪري ٿو /etc/ssh/sshd_config، جيڪڏهن اهي اڳ ۾ ئي سيٽ نه ڪيا ويا آهن YES:
پرمٽ رٽو لاگن ھائو
RSAA تصديق ها
ٺيڪيدار تصديق ها
echo UsePAM ها
پاسورڊ جي تصديق ها
UPD 4: ھاڻي اختصار ڪرڻ لاءِ: Exim، cron (روٽ سان) کي غير فعال ڪريو، فوري طور تي ssh مان Trojan Key کي هٽايو ۽ sshd config ۾ ترميم ڪريو، sshd کي ٻيهر شروع ڪريو! ۽ اهو اڃا تائين واضح ناهي ته اهو مدد ڪندو، پر ان کان سواء ڪو مسئلو ناهي.
مون پيچس/اپڊيٽس بابت تبصرن مان اهم معلومات نوٽ جي شروعات ۾ منتقل ڪئي، ته جيئن پڙهندڙ ان سان شروع ڪن.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
ڪو به ماڻهو جيڪو ٺاهي ٿو (يا ڳولي ٿو) هڪ مستحڪم حل، مهرباني ڪري لکو، توهان ڪيترن ئي مدد ڪنداسين.
UPD 7/XNUMX/XNUMX:
جيڪڏهن توهان اڳ ۾ ئي نه چيو آهي ته وائرس ٻيهر جيئرو ٿيو آهي ايڪسم ۾ اڻ موڪليل خط جي مهرباني، جڏهن توهان خط ٻيهر موڪلڻ جي ڪوشش ڪندا، اهو بحال ٿيو، ڏسو /var/spool/exim4
توھان ھن طرح پوري Exim قطار کي صاف ڪري سگھو ٿا:
exipick -i | xargs exim - Mr
قطار ۾ داخلن جو تعداد چيڪ ڪرڻ:
exim-bpc
UPD 8: ٻيهر
UPD 9: اهو لڳي ٿو ڪميونٽي، توهان جي مهرباني
بنيادي شيء اهو نه وسارڻ گهرجي ته سرور اڳ ۾ ئي سمجهوتو ڪيو ويو هو ۽ حملو ڪندڙ ڪجهه وڌيڪ غير معمولي گندي شين کي پلانٽ ڪرڻ ۾ ڪامياب ٿي سگهيا آهن (ڊراپر ۾ ڏنل نه آهي).
تنهن ڪري، اهو بهتر آهي ته مڪمل طور تي نصب ٿيل سرور (vds) ڏانهن منتقل ڪيو وڃي، يا گهٽ ۾ گهٽ موضوع جي نگراني جاري رکو - جيڪڏهن ڪا نئين شيء آهي، هتي تبصرن ۾ لکو، ڇاڪاڻ ته ظاهر آهي ته هرڪو نئين تنصيب ڏانهن منتقل نه ٿيندو ...
UPD 10: ٻيهر مهرباني
UPD 11: کان
(هن مالويئر کي منهن ڏيڻ جو هڪ يا ٻيو طريقو استعمال ڪرڻ کان پوء)
توهان کي ضرور ريبوٽ ڪرڻ جي ضرورت آهي - مالويئر کليل عملن ۾ ڪٿي بيٺو آهي ۽، مطابق، ياداشت ۾، ۽ هر 30 سيڪنڊن ۾ ڪرون ڪرڻ لاءِ پاڻ کي هڪ نئون لکندو آهي.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: پاڻ کي يقين ڏياريو ته هوشيار ماڻهو روٽ کان نه هلندا آهن - هڪ ٻي شيءِ
جيتوڻيڪ اهو روٽ کان ڪم نٿو ڪري، هيڪنگ ٿئي ٿي... مون وٽ ڊيبين جيسي يو پي ڊي آهي: منهنجي اورينج پي تي وڌو، ايڪسم ڊبيان-ايڪسم کان هلي رهيو آهي ۽ اڃا به هيڪنگ ٿي رهي آهي، گم ٿيل تاج وغيره.
UPD 15: جڏهن سمجهوتو ٿيل هڪ کان صاف سرور ڏانهن منتقل ڪيو وڃي، صفائي جي باري ۾ نه وساريو،
ڊيٽا کي منتقل ڪرڻ وقت، نه رڳو قابل عمل يا ترتيب ڏيڻ واري فائلن تي ڌيان ڏيو، پر ڪنهن به شيء تي پڻ شامل ٿي سگھي ٿو خراب حڪمن تي (مثال طور، MySQL ۾ اهو ٿي سگهي ٿو CREATE TRIGGER يا CREATE EVENT). انهي سان گڏ، .html، .js، .php، .py ۽ ٻين عوامي فائلن جي باري ۾ نه وساريو (مثالي طور تي اهي فائلون، ٻين ڊيٽا وانگر، مقامي يا ٻي قابل اعتماد اسٽوريج مان بحال ٿيڻ گهرجن).
UPD 16/XNUMX/XNUMX:
تنهنڪري هرڪو تازه ڪاري کان پوء توهان کي پڪ ڪرڻ گهرجي ته توهان نئون ورزن استعمال ڪري رهيا آهيو!
exim --version
اسان گڏجي انهن جي مخصوص صورتحال کي ترتيب ڏنو.
سرور استعمال ڪيو DirectAdmin ۽ ان جي پراڻي da_exim پيڪيج (پراڻو ورزن، بغير ڪنهن نقصان جي).
ساڳئي وقت، DirectAdmin جي ڪسٽم بلڊ پيڪيج مينيجر جي مدد سان، حقيقت ۾، Exim جو هڪ نئون نسخو انسٽال ڪيو ويو، جيڪو اڳ ۾ ئي ڪمزور هو.
هن خاص صورتحال ۾، ڪسٽم بلڊ ذريعي تازه ڪاري پڻ مدد ڪئي.
اهڙن تجربن کان اڳ بيڪ اپ ڪرڻ نه وساريو، ۽ اهو پڻ پڪ ڪريو ته تازه ڪاري کان اڳ/بعد ۾ سڀ Exim پروسيس پراڻي ورزن جا آهن.
جو ذريعو: www.habr.com