Asxaabta ku adeegsata noocyada Exim 4.87...4.91 mareegaha boostada - si degdeg ah ugu cusboonaysii nooca 4.92, iyagoo marka hore joojiyay Exim laftiisa si ay uga fogaadaan jabsiga CVE-2019-10149.
Dhowr milyan oo adeegayaal adduunka oo dhan ah ayaa suurtagal ah inay nugul yihiin, nuglaanta waxaa lagu qiimeeyay mid halis ah (CVSS 3.0 score base = 9.8/10). Weeraryahanadu waxay ku maamuli karaan amarro aan sabab lahayn serverkaaga, xaalado badan oo xidid ah.
Fadlan hubi inaad isticmaalayso nooc go'an (4.92) ama mid hore loo dhejiyay.
Ama balastar kan jira, eeg dunta .
U cusboonaysii centos 6: cm. - Centos 7 sidoo kale way shaqeysaa, haddii aysan si toos ah uga iman epel weli.
UPD: Ubuntu wuu saameeyay 18.04 iyo 18.10, war cusub ayaa loo soo saaray. Noocyada 16.04 iyo 19.04 ma saameeyaan haddii aan ikhtiyaarka caadiga ah lagu rakibin iyaga. Faahfaahin dheeraad ah .
Hadda dhibaatada lagu sharraxay halkaas ayaa si firfircoon looga faa'iidaysanayaa (bot, malaha), waxaan ku arkay caabuq ku dhaca server-yada qaarkood (ku socda 4.91).
Akhrinta dheeraadka ah waxay khusaysaa kaliya kuwa hore u "helay" - waxaad u baahan tahay inaad wax walba u qaado VPS nadiif ah oo leh software cusub, ama raadso xal. Ma isku daynaa? Qor haddii qof uu ka adkaan karo malware-kan.
Haddii adiga, adigoo ah isticmaale Exim oo aad tan akhrinayso, weli aadan cusboonaysiin ( aadan hubin in 4.92 ama nooc la dhejiyay la heli karo), fadlan jooji oo orod si aad u cusbooneysiiso.
Kuwii hore u soo gaadhay, aynu sii wadno...
UPS: wuxuuna siinayaa talada saxda ah:
Waxaa jiri kara noocyo badan oo malware ah. Markaad dawada u furto wax khaldan oo safka ka saara, isticmaaluhu ma bogsan doono waxaana laga yaabaa inuu garan waayo waxa uu u baahan yahay in lagu daweeyo.
Infekshanku waa sidan oo kale: [kthrotlds] wuxuu ku shubaa processor-ka; VDS daciif ah waa 100%, server-yada waa daciif laakiin waa la dareemi karaa.
Infekshanka ka dib, malware-ku wuxuu tirtiraa gelinta cron, isaga oo isdiiwaangelinaya oo keliya halkaas si uu u shaqeeyo 4 daqiiqo kasta, iyada oo ka dhigaysa faylka crontab mid aan beddeli karin. Crontab -e ma badbaadin karo isbeddellada, waxay ku siinaysaa qalad.
Aan bedeli karin waa laga saari karaa, tusaale ahaan, sidan oo kale, ka dibna tirtir khadka taliska (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Marka xigta, tafatiraha crontab (vim), tirtir khadka oo badbaadi:dd
:wq
Si kastaba ha ahaatee, qaar ka mid ah hababka firfircoon ayaa mar kale dib u qoraya, waan garanayaa.
Isla mar ahaantaana, waxaa jira farabadan wgets firfircoon (ama curls) oo ku dheggan ciwaannada qoraalka rakibaha (hoos eeg), waxaan u garaacayaa sidan oo kale hadda, laakiin mar kale ayay bilaabaan:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Waxaan ka helay qoraalka rakibaha Trojan halkan (centos): /usr/local/bin/nptd...ma soo dhajinayo si aan uga fogaado, laakiin haddii qof uu qabo oo fahmo qoraallada qolofka, fadlan si taxadar leh u baro.
Waxaan ku dari doonaa marka macluumaadka la cusbooneysiiyo.
UPD 1: Tirtirka faylasha (oo leh chattr horudhac ah -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ma caawin, mana joojin adeegga - Waxaan ku khasbanaaday in aan crontab gabi ahaanba hadda ka saar (dib u bixi faylka bin).
UPD 2: Rakibiyaha Trojan ayaa mararka qaarkood sidoo kale jiifay meelo kale, raadinta cabbirka ayaa caawiyay:
heli / -size 19825c
UPD 3/XNUMX/XNUMX: Digniin Marka lagu daro curyaaminta selinux, Trojan-ku wuxuu sidoo kale ku daraa kiisa Furaha SSH gudaha ${sshdir}/furaha_la oggolaaday! Oo waxay ka hawlgelisaa meelaha soo socda ee /etc/ssh/sshd_config, haddii aan hore loogu dhigin HAA:
PermitRootLogin haa
Xaqiijinta RSAA haa
Hubinta PubkeyA haa
ku celi UsePAM haa
Xaqiijinta sirta ah haa
UPD 4: Si loo soo koobo hadda: dami Exim, cron (xididdada leh), si degdeg ah uga saar furaha Trojan ssh oo tafatir qaabka sshd, dib u bilow sshd! Oo weli ma cadda in tani ay caawin doonto, laakiin la'aanteed waxaa jira dhibaato.
Waxaan xogta muhiimka ah ka soo raray faallooyinka ku saabsan patches/cusbooneysiinta ilaa bilowga qoraalka, si ay akhristayaasha ugu bilaabaan.
UPD 5/XNUMX/XNUMX: in malware uu bedelay furaha sirta ah ee WordPress.
UPD 6/XNUMX/XNUMX: , aan tijaabino! Ka dib dib-u-kicinta ama xidhitaanka, daawadu waxay u muuqataa inay baaba'ayso, laakiin hadda ugu yaraan waa taas.
Qof kasta oo sameeya (ama helo) xal xasilloon, fadlan qor, waxaad caawin doontaa qaar badan.
UPD 7/XNUMX/XNUMX: qoray:
Haddii aadan horay u sheegin in fayrasku soo noolaaday iyada oo ay ugu wacan tahay warqad aan la dirin oo ku taal Exim, marka aad isku daydo inaad mar kale dirto warqadda, waa la soo celinayaa, eeg /var/spool/exim4
Waxaad ka saari kartaa dhammaan safka Exim sidatan:
exipick -i | xargs exim -Mrm
Hubinta tirada gelitaanka safka:
exim -bpc
UPD 8: Mar labaad FirstVDS waxay soo bandhigtay nuqulkooda qoraalka daawaynta, aan tijaabino!
UPD 9: Waxay u egtahay shaqeeyaa, Mahadsanid ee qoraalka!
Waxa ugu muhiimsan waa in aan la iloobin in server-ka uu horeyba u xumaaday, weeraryahannadu waxay ku guulaysteen inay beeraan waxyaabo xunxun oo kale (oo aan ku jirin liiska).
Sidaa darteed, way fiicantahay inaad u guurto server si buuxda loo rakibay (vds), ama ugu yaraan sii wadida la socodka mawduuca - haddii ay jiraan wax cusub, ku qor faallooyinka halkan, sababtoo ah Sida iska cad qof walba uma guuri doono rakibaad cusub...
UPD 10: Mahadsanid marlabaad : waxa ay xasuusinaysaa in aanay server-yada oo kaliya cudurka qabin, laakiin sidoo kale Raspberry Pi, iyo dhammaan noocyada kala duwan ee mashiinnada casriga ah ... Markaa ka dib markaad badbaadiso server-yada, ha ilaawin inaad badbaadiso qalabkaaga fiidiyowga, robots, iwm.
UPD 11: Laga bilaabo Qoraal muhiim ah oo loogu talagalay daaweeyayaasha gacanta:
(kadib markii la isticmaalo hal ama hab kale oo lagula dagaalamo malware-kan)
Xaqiiqdi waxaad u baahan tahay inaad dib u bilowdo - malware-ku wuxuu ku fadhiyaa meel hawlo furan, sidaas awgeed, xusuusta, oo naftiisa u qorta mid cusub si uu 30 ilbiriqsi kasta
UPD 12/XNUMX/XNUMX: Exim waxa uu safkiisa ku jiraa malware (?) waxa uuna kugula talinayaa in aad marka hore barato dhibaatadaada gaarka ah ka hor inta aadan bilaabin daawaynta.
UPD 13/XNUMX/XNUMX: halkii, u gudub nidaam nadiif ah, oo u gudbi faylasha si taxadar leh, sababtoo ah Malware-ka ayaa mar horeba si guud loo helay waxaana loo isticmaali karaa siyaabo kale, aan iska cadahay oo ka khatarsan.
UPD 14: inaan nafteena u xaqiijino in dadka caqliga lihi aysan ka cararin xidid - hal shay oo kale :
Xitaa haddii aysan ka shaqeynin xididka, jabsiga waxay dhacdaa ... Waxaan haystaa debian jessie UPD: ku fidi OrangePi, Exim wuxuu ka socdaa Debian-exim oo wali jabsiga ayaa dhacay, taajaj lumay, iwm.
UPD 15: Markaad u guurto server nadiif ah mid la jabiyay, ha iloobin nadaafadda, :
Markaad wareejinayso xogta, u fiirso oo keliya ma aha in la fulin karo ama qaabaynta faylasha, laakiin sidoo kale wax kasta oo laga yaabo inay ku jiraan amarrada xaasidnimada ah (tusaale, MySQL tani waxay noqon kartaa CREATE TRIGER ama CREATE EVENT). Sidoo kale, ha iloobin .html, .js, .php, .py iyo faylasha kale ee dadweynaha (sida ugu fiican faylalkaas, sida xogta kale, waa in laga soo celiyaa kaydinta maxaliga ah ama kuwa kale ee la aamini karo).
UPD 16/XNUMX/XNUMX: ΠΈ : Nidaamku wuxuu lahaa hal nooc oo Exim ah oo lagu rakibay dekedaha, laakiin xaqiiqadu waxay ahayd mid kale.
Markaa qof walba update ka dib waa in aad hubisaa in aad isticmaalayso nooca cusub!
exim --versionWaxaan isla xalinay xaaladahooda gaarka ah.
Seerfarku waxa uu isticmaalay DirectAdmin iyo xidhmaddii hore ee da_exim (nooca hore, iyada oo aan lahayn nuglaanta).
Isla mar ahaantaana, iyadoo la kaashanayo DirectAdmin's custombuild maareeyaha xirmada, dhab ahaantii, nooca cusub ee Exim ayaa markaa la rakibay, kaas oo horeyba u nugulaa.
Xaaladdan gaarka ah, cusbooneysiinta iyada oo loo marayo custombuild ayaa sidoo kale caawisay.
Ha iloobin inaad sameyso nuqul ka hor tijaabooyinka noocan oo kale ah, sidoo kale hubi in ka hor/ka dib cusboonaysiinta dhammaan hababka Exim ay yihiin noocii hore oo aan "ku dheggan" xusuusta.
Source: www.habr.com