Pa'aga o lo'o fa'aogaina le Exim versions 4.87...4.91 i luga oa latou meli - fa'anatinati fa'afouga i le version 4.92, na muamua taofi Exim lava ia ina ia aloese mai le hacking i le CVE-2019-10149.
E tele miliona 'au'aunaga i le salafa o le lalolagi e ono a'afia, o le fa'aletonu o lo'o fa'amauina e taua (CVSS 3.0 base score = 9.8/10). E mafai e tagata osofaʻi ona faʻatautaia tulafono faʻapitoa i luga o lau 'auʻaunaga, i le tele o tulaga mai aʻa.
Fa'amolemole fa'amautinoa o lo'o e fa'aogaina se fa'amaumauga tumau (4.92) po'o se tasi ua uma ona fa'apipi'i.
Pe fa'apipi'i le mea o iai, va'ai filo .
Fa'afouga mo sene 6: cm. - mo centos 7 e aoga foi, pe afai e le'i taunuu sa'o mai le epel.
UPD: Ua afaina le Ubuntu 18.04 ma 18.10, ua tatalaina se fa'afouga mo i latou. Fa'aliliuga 16.04 ma le 19.04 e le'o a'afia se'i vagana ua fa'apipi'i i ai filifiliga fa'ale-aganu'u. Fa'amatalaga atili .
O lea la o le faʻafitauli o loʻo faʻamatalaina iina o loʻo faʻaaogaina faʻamalosi (e se bot, masalo), na ou matauina se faʻamaʻi i luga o nisi o sapalai (taʻavale i le 4.91).
O isi faitauga e talafeagai mo naʻo i latou ua uma ona "maua" - e te manaʻomia le felauaiga o mea uma i se VPS mama ma polokalama fou, pe suʻe se fofo. Pe tatou te taumafai ea? Tusi pe mafai e se tasi ona manumalo i lenei malware.
Afai o oe, o se tagata Exim fa'aoga ma faitau i lenei mea, e le'i fa'afouina (e le'i mautinoa o lo'o maua le 4.92 po'o se fa'ailoga patched), fa'amolemole taofi ma tamoe e fa'afou.
Mo i latou ua uma ona o'o iina, tatou fa'aauau...
FUAFUAGA: ma avatu le fautuaga saʻo:
E mafai ona i ai le tele o ituaiga o malware. E ala i le faʻalauiloaina o vailaʻau mo le mea sese ma faʻamama le laina, o le a le faʻamalolo le tagata faʻaoga ma atonu e le iloa le mea e manaʻomia ona togafitia.
O le fa'ama'i e iloagofie e pei o lenei: [kthrotlds] utaina le masini; i luga o se VDS vaivai o le 100%, i luga o sapalai e sili atu ona vaivai ae iloagofie.
A maeʻa faʻamaʻi, e tape e le malware faʻamaumauga cron, naʻo ia e lesitala iina e taʻavale i 4 minute uma, aʻo faʻaogaina le faila crontab e le mafai ona suia. Crontab -e e le mafai ona faasaoina suiga, e maua ai se mea sese.
E mafai ona aveese le le mafai, mo se faʻataʻitaʻiga, pei o lenei, ona tape lea o le laina o le poloaiga (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sosoo ai, i le crontab editor (vim), tape le laina ma sefe:dd
:wq
Ae ui i lea, o nisi o gaioiga gaioiga o loʻo toe faʻaaogaina, o loʻo ou mafaufau i ai.
I le taimi lava e tasi, o loʻo i ai le tele o wgets (poʻo curls) o loʻo tautau i luga o tuatusi mai le faʻapipiʻi faʻapipiʻi (silasila i lalo), o loʻo ou tuʻituʻi i lalo e pei o lenei mo le taimi nei, ae toe amata:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Na ou mauaina le Trojan installer script iinei (centos): /usr/local/bin/nptd... Ou te le o lafoina e aloese ai, ae afai e aafia se tasi ma malamalama i tusitusiga atigi, faamolemole suesue atili ma le faaeteete.
O le a ou faʻaopopo pe a faʻafouina faʻamatalaga.
UPD 1: O le tapeina o faila (faatasi ai ma le chattr -i muamua) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root e leʻi fesoasoani, e leʻi taofia foi le auaunaga - e tatau ona ou crontab mo le taimi nei sae ese (toe faaigoa le faila talone).
UPD 2: O le Trojan installer o nisi taimi o loʻo taoto i isi nofoaga, suʻesuʻe i le tele na fesoasoani:
su'e / -size 19825c
UPD 3/XNUMX/XNUMX: Faʻamolemole faʻamolemole! I le faʻaopoopoga i le faʻafefeina o selinux, e faʻaopoopoina foi e le Trojan ia lava SSH ki i le ${sshdir}/authorized_keys! Ma faʻagaoioia vaega nei i /etc/ssh/sshd_config, pe afai e leʻi setiina i le IOE:
PermitRootLogin ioe
RSAAuthentication ioe
PubkeyAuthentication ioe
toe fai Fa'aaogaPAM ioe
PasswordAuthentication ioe
UPD 4: Ina ia tauaofai mo le taimi nei: faʻamalo Exim, cron (ma aʻa), aveese faʻafuaseʻi le Trojan key mai le ssh ma faʻasaʻo le sshd config, toe amata le sshd! Ma e leʻi manino mai o le a fesoasoani lenei mea, ae a aunoa ma se faʻafitauli.
Na ou siitia faʻamatalaga taua mai faʻamatalaga e uiga i patch / faʻafouga i le amataga o le tusi, ina ia amata ai e le au faitau.
UPD 5/XNUMX/XNUMX: o le malware na suia upu faʻamaonia i totonu o le WordPress.
UPD 6/XNUMX/XNUMX: , se'i o tatou su'esu'e! A maeʻa le toe faʻafouina poʻo le tapuni, e foliga mai e mou atu le vailaʻau, ae mo le taimi nei o le mea lena.
Soo se tasi e faia (pe maua) se fofo mautu, faamolemole tusi mai, o le a e fesoasoani i le toatele.
UPD 7/XNUMX/XNUMX: tusia:
Afai e te leʻi fai mai o le siama ua toe tu faʻafetai i se tusi e leʻi tuʻuina atu i Exim, pe a e taumafai e toe lafo le tusi, e toe faʻaleleia, vaʻai i totonu /var/spool/exim4
E mafai ona e faʻamama le laina atoa Exim e pei o lenei:
exipick -i | xargs exim -Mrm
Siaki le numera o fa'amaumauga i le laina:
exim -bpc
UPD 8: Toe foi : Na ofoina atu e le FirstVDS a latou faʻamatalaga o le faʻasologa o togafitiga, seʻi o tatou suʻeina!
UPD 9: E foliga mai galue, Faafetai mo le tala!
O le mea autu ia aua neʻi galo o le 'auʻaunaga ua uma ona faʻafefeteina ma na mafai e le au osofaʻi ona mafai ona totōina nisi mea leaga e le masani ai (e le o lisiina i le dropper).
O le mea lea, e sili atu le alu i se 'auʻaunaga faʻapipiʻi atoatoa (vds), pe faʻaauau pea ona mataʻituina le autu - pe a iai se mea fou, tusi i faʻamatalaga iinei, aua e manino lava e le o tagata uma o le a siitia i se faʻapipiʻi fou...
UPD 10: Toe faafetai : e faamanatu mai ai e le gata o loʻo aʻafia ai 'auʻaunaga, ae faʻapea foi Rasipi Pi, ma ituaiga uma o masini komepiuta ... O lea a uma ona faʻasaoina le 'auʻaunaga, aua neʻi galo e teu au faʻamafanafanaga vitio, robots, ma isi.
UPD 11: Mai Fa'amatalaga taua mo fa'amalolo tusilima:
(pe a uma ona faʻaaogaina se tasi poʻo se isi auala e faʻafefe ai lenei malware)
E mautinoa lava e te manaʻomia e toe faʻafou - o le malware o loʻo nofo i se mea i faiga tatala ma, e tusa ai, i le manatua, ma tusia ia lava se mea fou e faʻapipiʻi i 30 sekone.
UPD 12/XNUMX/XNUMX: Exim ei ai se isi(?) malware i lona laina ma fautuaina oe e suʻesuʻe muamua lau faʻafitauli faʻapitoa aʻo leʻi amataina togafitiga.
UPD 13/XNUMX/XNUMX: ae, alu i se faiga mama, ma fesiitai faila matua faaeteete, aua O lo'o avanoa fa'alaua'itele le malware ma e mafai ona fa'aoga i isi auala e le iloagofie ma sili atu ona mata'utia.
UPD 14: fa'amautinoaina i tatou lava o tagata popoto e le taufetuli mai a'a - tasi le mea :
E tusa lava pe le aoga mai aʻa, hacking tupu ... O loʻo ia te aʻu debian jessie UPD: faʻalautele i luga o laʻu OrangePi, Exim o loʻo tamoe mai Debian-exim ma o loʻo tupu pea le hacking, leiloa pale, ma isi.
UPD 15: pe a alu i se 'auʻaunaga mama mai se faʻafefeteina, aua neʻi galo e uiga i le tumama, :
Pe a faʻafeiloaʻi faʻamatalaga, faʻalogo e le gata i faila faʻapipiʻi poʻo faila faʻatulagaina, ae faʻapea foʻi i soʻo se mea e ono iai ni faʻatonuga leaga (mo se faʻataʻitaʻiga, i MySQL e mafai ona avea ma CREATE TRIGGER poʻo CREATE EVENT). E le gata i lea, aua nei galo e uiga i le .html, .js, .php, .py ma isi faila lautele (o le mea sili o nei faila, pei o isi faʻamatalaga, e tatau ona toe faʻaleleia mai le lotoifale poʻo isi faʻamaumauga faʻalagolago).
UPD 16/XNUMX/XNUMX: и : o le faiga e tasi le lomiga o Exim faʻapipiʻi i totonu o ports, ae o le mea moni o loʻo faʻaogaina se isi.
O tagata uma la a uma le fa'afouga e tatau ona e mautinoa o loʻo e faʻaaogaina le lomiga fou!
exim --versionSa matou faavasega faatasi lo latou tulaga patino.
Na fa'aogaina e le 'au'aunaga le DirectAdmin ma lana pusa tuai da_exim (tulaga tuai, e aunoa ma se fa'aletonu).
I le taimi lava e tasi, faʻatasi ai ma le fesoasoani a le DirectAdmin's custombuild package manager, o le mea moni, na faʻapipiʻi ai se faʻamatalaga fou o Exim, lea ua leva ona vaivai.
I lenei tulaga faʻapitoa, faʻafouina e ala i custombuild na fesoasoani foi.
Aua neʻi galo e fai faʻamaumauga aʻo leʻi oʻo i ia suʻega, ma ia mautinoa foi aʻo leʻi / maeʻa le faʻafouina o faiga uma a Exim o loʻo i ai i le lomiga tuai. ma e le "maua" i le manatua.
puna: www.habr.com