Pa'aga o lo'o fa'aogaina le Exim versions 4.87...4.91 i luga oa latou meli - fa'anatinati fa'afouga i le version 4.92, na muamua taofi Exim lava ia ina ia aloese mai le hacking i le CVE-2019-10149.
E tele miliona 'au'aunaga i le salafa o le lalolagi e ono a'afia, o le fa'aletonu o lo'o fa'amauina e taua (CVSS 3.0 base score = 9.8/10). E mafai e tagata osofaʻi ona faʻatautaia tulafono faʻapitoa i luga o lau 'auʻaunaga, i le tele o tulaga mai aʻa.
Fa'amolemole fa'amautinoa o lo'o e fa'aogaina se fa'amaumauga tumau (4.92) po'o se tasi ua uma ona fa'apipi'i.
Pe fa'apipi'i le mea o iai, va'ai filo
Fa'afouga mo sene 6: cm.
UPD: Ua afaina le Ubuntu 18.04 ma 18.10, ua tatalaina se fa'afouga mo i latou. Fa'aliliuga 16.04 ma le 19.04 e le'o a'afia se'i vagana ua fa'apipi'i i ai filifiliga fa'ale-aganu'u. Fa'amatalaga atili
O lea la o le faʻafitauli o loʻo faʻamatalaina iina o loʻo faʻaaogaina faʻamalosi (e se bot, masalo), na ou matauina se faʻamaʻi i luga o nisi o sapalai (taʻavale i le 4.91).
O isi faitauga e talafeagai mo naʻo i latou ua uma ona "maua" - e te manaʻomia le felauaiga o mea uma i se VPS mama ma polokalama fou, pe suʻe se fofo. Pe tatou te taumafai ea? Tusi pe mafai e se tasi ona manumalo i lenei malware.
Afai o oe, o se tagata Exim fa'aoga ma faitau i lenei mea, e le'i fa'afouina (e le'i mautinoa o lo'o maua le 4.92 po'o se fa'ailoga patched), fa'amolemole taofi ma tamoe e fa'afou.
Mo i latou ua uma ona o'o iina, tatou fa'aauau...
FUAFUAGA:
E mafai ona i ai le tele o ituaiga o malware. E ala i le faʻalauiloaina o vailaʻau mo le mea sese ma faʻamama le laina, o le a le faʻamalolo le tagata faʻaoga ma atonu e le iloa le mea e manaʻomia ona togafitia.
O le fa'ama'i e iloagofie e pei o lenei: [kthrotlds] utaina le masini; i luga o se VDS vaivai o le 100%, i luga o sapalai e sili atu ona vaivai ae iloagofie.
A maeʻa faʻamaʻi, e tape e le malware faʻamaumauga cron, naʻo ia e lesitala iina e taʻavale i 4 minute uma, aʻo faʻaogaina le faila crontab e le mafai ona suia. Crontab -e e le mafai ona faasaoina suiga, e maua ai se mea sese.
E mafai ona aveese le le mafai, mo se faʻataʻitaʻiga, pei o lenei, ona tape lea o le laina o le poloaiga (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Sosoo ai, i le crontab editor (vim), tape le laina ma sefe:dd
:wq
Ae ui i lea, o nisi o gaioiga gaioiga o loʻo toe faʻaaogaina, o loʻo ou mafaufau i ai.
I le taimi lava e tasi, o loʻo i ai le tele o wgets (poʻo curls) o loʻo tautau i luga o tuatusi mai le faʻapipiʻi faʻapipiʻi (silasila i lalo), o loʻo ou tuʻituʻi i lalo e pei o lenei mo le taimi nei, ae toe amata:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Na ou mauaina le Trojan installer script iinei (centos): /usr/local/bin/nptd... Ou te le o lafoina e aloese ai, ae afai e aafia se tasi ma malamalama i tusitusiga atigi, faamolemole suesue atili ma le faaeteete.
O le a ou faʻaopopo pe a faʻafouina faʻamatalaga.
UPD 1: O le tapeina o faila (faatasi ai ma le chattr -i muamua) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root e leʻi fesoasoani, e leʻi taofia foi le auaunaga - e tatau ona ou crontab mo le taimi nei sae ese (toe faaigoa le faila talone).
UPD 2: O le Trojan installer o nisi taimi o loʻo taoto i isi nofoaga, suʻesuʻe i le tele na fesoasoani:
su'e / -size 19825c
UPD 3/XNUMX/XNUMX: Faʻamolemole faʻamolemole! I le faʻaopoopoga i le faʻafefeina o selinux, e faʻaopoopoina foi e le Trojan ia lava SSH ki i le ${sshdir}/authorized_keys! Ma faʻagaoioia vaega nei i /etc/ssh/sshd_config, pe afai e leʻi setiina i le IOE:
PermitRootLogin ioe
RSAAuthentication ioe
PubkeyAuthentication ioe
toe fai Fa'aaogaPAM ioe
PasswordAuthentication ioe
UPD 4: Ina ia tauaofai mo le taimi nei: faʻamalo Exim, cron (ma aʻa), aveese faʻafuaseʻi le Trojan key mai le ssh ma faʻasaʻo le sshd config, toe amata le sshd! Ma e leʻi manino mai o le a fesoasoani lenei mea, ae a aunoa ma se faʻafitauli.
Na ou siitia faʻamatalaga taua mai faʻamatalaga e uiga i patch / faʻafouga i le amataga o le tusi, ina ia amata ai e le au faitau.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Soo se tasi e faia (pe maua) se fofo mautu, faamolemole tusi mai, o le a e fesoasoani i le toatele.
UPD 7/XNUMX/XNUMX:
Afai e te leʻi fai mai o le siama ua toe tu faʻafetai i se tusi e leʻi tuʻuina atu i Exim, pe a e taumafai e toe lafo le tusi, e toe faʻaleleia, vaʻai i totonu /var/spool/exim4
E mafai ona e faʻamama le laina atoa Exim e pei o lenei:
exipick -i | xargs exim -Mrm
Siaki le numera o fa'amaumauga i le laina:
exim -bpc
UPD 8: Toe foi
UPD 9: E foliga mai galue, Faafetai
O le mea autu ia aua neʻi galo o le 'auʻaunaga ua uma ona faʻafefeteina ma na mafai e le au osofaʻi ona mafai ona totōina nisi mea leaga e le masani ai (e le o lisiina i le dropper).
O le mea lea, e sili atu le alu i se 'auʻaunaga faʻapipiʻi atoatoa (vds), pe faʻaauau pea ona mataʻituina le autu - pe a iai se mea fou, tusi i faʻamatalaga iinei, aua e manino lava e le o tagata uma o le a siitia i se faʻapipiʻi fou...
UPD 10: Toe faafetai
UPD 11: Mai
(pe a uma ona faʻaaogaina se tasi poʻo se isi auala e faʻafefe ai lenei malware)
E mautinoa lava e te manaʻomia e toe faʻafou - o le malware o loʻo nofo i se mea i faiga tatala ma, e tusa ai, i le manatua, ma tusia ia lava se mea fou e faʻapipiʻi i 30 sekone.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: fa'amautinoaina i tatou lava o tagata popoto e le taufetuli mai a'a - tasi le mea
E tusa lava pe le aoga mai aʻa, hacking tupu ... O loʻo ia te aʻu debian jessie UPD: faʻalautele i luga o laʻu OrangePi, Exim o loʻo tamoe mai Debian-exim ma o loʻo tupu pea le hacking, leiloa pale, ma isi.
UPD 15: pe a alu i se 'auʻaunaga mama mai se faʻafefeteina, aua neʻi galo e uiga i le tumama,
Pe a faʻafeiloaʻi faʻamatalaga, faʻalogo e le gata i faila faʻapipiʻi poʻo faila faʻatulagaina, ae faʻapea foʻi i soʻo se mea e ono iai ni faʻatonuga leaga (mo se faʻataʻitaʻiga, i MySQL e mafai ona avea ma CREATE TRIGGER poʻo CREATE EVENT). E le gata i lea, aua nei galo e uiga i le .html, .js, .php, .py ma isi faila lautele (o le mea sili o nei faila, pei o isi faʻamatalaga, e tatau ona toe faʻaleleia mai le lotoifale poʻo isi faʻamaumauga faʻalagolago).
UPD 16/XNUMX/XNUMX:
O tagata uma la a uma le fa'afouga e tatau ona e mautinoa o loʻo e faʻaaogaina le lomiga fou!
exim --version
Sa matou faavasega faatasi lo latou tulaga patino.
Na fa'aogaina e le 'au'aunaga le DirectAdmin ma lana pusa tuai da_exim (tulaga tuai, e aunoa ma se fa'aletonu).
I le taimi lava e tasi, faʻatasi ai ma le fesoasoani a le DirectAdmin's custombuild package manager, o le mea moni, na faʻapipiʻi ai se faʻamatalaga fou o Exim, lea ua leva ona vaivai.
I lenei tulaga faʻapitoa, faʻafouina e ala i custombuild na fesoasoani foi.
Aua neʻi galo e fai faʻamaumauga aʻo leʻi oʻo i ia suʻega, ma ia mautinoa foi aʻo leʻi / maeʻa le faʻafouina o faiga uma a Exim o loʻo i ai i le lomiga tuai.
puna: www.habr.com