Kolegi, ki uporabljate Exim različice 4.87...4.91 na svojih poštnih strežnikih - nujno posodobite na različico 4.92, pri čemer ste predhodno ustavili sam Exim, da se izognete vdoru prek CVE-2019-10149.
Več milijonov strežnikov po vsem svetu je potencialno ranljivih, ranljivost je ocenjena kot kritična (osnovna ocena CVSS 3.0 = 9.8/10). Napadalci lahko izvajajo poljubne ukaze na vašem strežniku, v mnogih primerih od root.
Prepričajte se, da uporabljate fiksno različico (4.92) ali takšno, ki je že bila popravljena.
Ali popravite obstoječega, glejte nit .
Posodobitev za centos 6: cm. — za centos 7 tudi dela, če še ni prišel direktno iz epela.
UPD: Ubuntu je prizadet 18.04 in 18.10, je bila zanje izdana posodobitev. Na različici 16.04 in 19.04 to ne vpliva, razen če so bile nanju nameščene možnosti po meri. Več podrobnosti .
Zdaj se tam opisana težava aktivno izkorišča (verjetno bot), opazil sem okužbo na nekaterih strežnikih (tečejo na 4.91).
Nadaljnje branje je pomembno samo za tiste, ki so že "dobili" - vse morate prenesti na čist VPS s svežo programsko opremo ali poiskati rešitev. Bomo poskusili? Napišite, če lahko kdo premaga to malware.
Če ste uporabnik Exima in berete to, še vedno niste posodobili (niste se prepričali, da je na voljo 4.92 ali popravljena različica), se ustavite in zaženite posodobitev.
Za tiste, ki ste tja že prišli, nadaljujmo...
UPS: in daje pravi nasvet:
Zlonamerna programska oprema je lahko zelo raznolika. Če zaženete zdravilo za napačno stvar in počistite čakalno vrsto, uporabnik ne bo ozdravljen in morda ne bo vedel, za kaj se mora zdraviti.
Okužba je opazna takole: [kthrotlds] naloži procesor; na šibkem VDS je 100%, na strežnikih je šibkejši, vendar opazen.
Po okužbi zlonamerna programska oprema izbriše vnose cron in se tam registrira samo za zagon vsake 4 minute, medtem ko naredi datoteko crontab nespremenljivo. Crontab -e ne more shraniti sprememb, prikaže napako.
Nespremenljivo lahko odstranite na primer takole in nato izbrišete ukazno vrstico (1.5 kb):
chattr -i /var/spool/cron/root
crontab -e
Nato v urejevalniku crontab (vim) izbrišite vrstico in shranite:dd
:wq
Vendar pa se nekateri aktivni procesi spet prepisujejo, ugotavljam.
Hkrati pa na naslovih iz namestitvenega skripta visi kup aktivnih wgetov (ali kodrov) (glej spodaj), zaenkrat jih podiram takole, pa začnejo znova:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Namestitveni skript za trojance sem našel tukaj (centos): /usr/local/bin/nptd ... Ne objavljam ga zato, da bi se temu izognil, ampak če je kdo okužen in razume lupinske skripte, naj ga bolj natančno preuči.
Bom dodal, ko bodo informacije posodobljene.
UPD 1: Brisanje datotek (s predhodnim chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ni pomagalo, niti zaustavitev storitve - moral sem crontab zaenkrat popolnoma iztrgajte (preimenujte datoteko bin).
UPD 2: Trojanski namestitveni program je včasih ležal tudi na drugih mestih, pomagalo je iskanje po velikosti:
najdi / -velikost 19825c
UPD 3. XNUMX. XNUMX: Opozorilo! Poleg tega, da onemogoči selinux, trojanec doda še svoje SSH ključ v ${sshdir}/authorized_keys! In aktivira naslednja polja v /etc/ssh/sshd_config, če še niso bila nastavljena na DA:
PermitRootLogin da
Preverjanje pristnosti RSAA da
PubkeyAuthentication da
echo UsePAM da
Preverjanje pristnosti gesla da
UPD 4: Če povzamem zaenkrat: onemogočite Exim, cron (s koreninami), nujno odstranite trojanski ključ iz ssh in uredite konfiguracijo sshd, ponovno zaženite sshd! In še ni jasno, ali bo to pomagalo, a brez tega je problem.
Pomembne informacije sem premaknil iz komentarjev o popravkih/posodobitev na začetek opombe, tako da bralci začnejo z njimi.
UPD 5. XNUMX. XNUMX: da je zlonamerna programska oprema spremenila gesla v WordPressu.
UPD 6. XNUMX. XNUMX: , preizkusimo! Po ponovnem zagonu ali zaustavitvi se zdi, da zdravilo izgine, a za zdaj je vsaj to to.
Kdor izdela (ali najde) stabilno rešitev naj napiše, marsikomu boš pomagal.
UPD 7. XNUMX. XNUMX: piše:
Če še niste povedali, da je virus obujen zaradi neposlanega pisma v Eximu, ko poskusite ponovno poslati pismo, se obnovi, poglejte v /var/spool/exim4
Celotno čakalno vrsto Exim lahko počistite takole:
exipick -i | xargs exim -g
Preverjanje števila vnosov v čakalni vrsti:
exim -bpc
UPD 8: Spet : FirstVDS je ponudil svojo različico skripte zdravljenja, preizkusimo jo!
UPD 9: Videti je Dela, hvala za scenarij!
Glavna stvar je, da ne pozabite, da je bil strežnik že ogrožen in bi lahko napadalci podtaknili še nekaj netipičnih grdih stvari (ki niso navedene v dropperju).
Zato je bolje, da se premaknete na popolnoma nameščen strežnik (vds), ali pa vsaj še naprej spremljate temo - če je kaj novega, napišite tukaj v komentarje, ker očitno ne bodo vsi prešli na novo namestitev...
UPD 10: Še enkrat hvala : opozarja, da niso okuženi le strežniki, ampak tudi Raspberry Pi, in vse vrste virtualnih strojev ... Torej, ko shranite strežnike, ne pozabite shraniti svojih video konzol, robotov itd.
UPD 11: Od Pomembna opomba za ročne zdravilce:
(po uporabi enega ali drugega načina za boj proti tej zlonamerni programski opremi)
Vsekakor se morate znova zagnati - zlonamerna programska oprema sedi nekje v odprtih procesih in s tem v pomnilniku ter si vsakih 30 sekund napiše novo v cron
UPD 12. XNUMX. XNUMX: Exim ima v čakalni vrsti še eno (?) zlonamerno programsko opremo in vam svetuje, da najprej preučite svojo specifično težavo, preden začnete zdravljenje.
UPD 13. XNUMX. XNUMX: raje preidite na čist sistem in prenašajte datoteke izjemno previdno, saj Zlonamerna programska oprema je že javno dostopna in jo je mogoče uporabiti na druge, manj očitne in bolj nevarne načine.
UPD 14: prepričati se, da pametni ljudje ne bežijo od korena - še ena stvar :
Tudi če ne deluje od korena, pride do vdora ... Imam debian jessie UPD: stretch na svojem OrangePi, Exim se izvaja iz Debian-exim in še vedno je prišlo do vdora, izgubljenih kron itd.
UPD 15: pri prehodu na čisti strežnik s kompromitiranega ne pozabite na higieno, :
Pri prenosu podatkov ne bodite pozorni samo na izvršljive ali konfiguracijske datoteke, ampak tudi na vse, kar lahko vsebuje zlonamerne ukaze (na primer, v MySQL je to lahko CREATE TRIGGER ali CREATE EVENT). Ne pozabite tudi na .html, .js, .php, .py in druge javne datoteke (v idealnem primeru je treba te datoteke, tako kot druge podatke, obnoviti iz lokalnega ali drugega zaupanja vrednega pomnilnika).
UPD 16. XNUMX. XNUMX: и : sistem je imel v vratih nameščeno eno različico Exima, v resnici pa je izvajal drugo.
Torej vsi po posodobitvi se morate prepričati da uporabljate novo različico!
exim --versionSkupaj smo uredili njihovo specifično situacijo.
Strežnik je uporabljal DirectAdmin in njegov stari paket da_exim (stara različica, brez ranljivosti).
Hkrati se je s pomočjo DirectAdminovega upravljalnika paketov custombuild pravzaprav nato namestila novejša različica Exima, ki je bila že ranljiva.
V tej posebni situaciji je pomagalo tudi posodabljanje prek custombuild.
Ne pozabite narediti varnostne kopije pred takšnimi poskusi in se tudi prepričajte, da so pred/po posodobitvi vsi procesi Exima stare različice in ne »zataknjen« v spominu.
Vir: www.habr.com