Колеге које користе Еким верзије 4.87...4.91 на својим серверима поште - хитно ажурирајте на верзију 4.92, након што су прво зауставили сам Еким како би избегли хаковање преко ЦВЕ-2019-10149.
Неколико милиона сервера широм света је потенцијално рањиво, а рањивост је оцењена као критична (ЦВСС 3.0 основни резултат = 9.8/10). Нападачи могу покренути произвољне команде на вашем серверу, у многим случајевима из роот-а.
Уверите се да користите фиксну верзију (4.92) или ону која је већ закрпљена.
Или закрпите постојећи, погледајте тему .
Ажурирај за центос 6: центиметар. — за центос 7 такође ради, ако још није стигао директно из епел-а.
УПД: Убунту је погођен КСНУМКС и КСНУМКС, објављено је ажурирање за њих. Верзије 16.04 и 19.04 нису погођене осим ако на њима нису инсталиране прилагођене опције. Детаљније .
Сада се тамо описани проблем активно искоришћава (од стране бота, вероватно), приметио сам инфекцију на неким серверима (који ради на 4.91).
Даље читање је релевантно само за оне који су га већ „добили“ - морате или све пренети на чист ВПС са свежим софтвером или потражити решење. Хоћемо ли покушати? Напишите да ли неко може да превазиђе овај малвер.
Ако ви, будући да сте корисник Еким-а и читате ово, још увек нисте ажурирали (нисте били сигурни да је доступна верзија 4.92 или закрпљена), зауставите и покрените да ажурирате.
За оне који су већ стигли, наставимо...
УПД: и даје прави савет:
Може постојати велики број малвера. Лансирањем лека за погрешну ствар и чишћењем реда, корисник неће бити излечен и можда неће знати од чега треба да се лечи.
Инфекција је приметна овако: [ктхротлдс] учитава процесор; на слабом ВДС-у је 100%, на серверима је слабији али приметан.
Након инфекције, злонамерни софтвер брише црон уносе, региструјући се само тамо да се покреће свака 4 минута, док цронтаб датотеку чини непроменљивом. Кронтаб -е не може да сачува промене, даје грешку.
Иммутабле се може уклонити, на пример, овако, а затим избрисати командну линију (1.5 кб):
chattr -i /var/spool/cron/root
crontab -e
Затим, у уређивачу цронтаб (вим), избришите ред и сачувајте:dd
:wq
Међутим, неки активни процеси се поново преписују, схватам.
У исто време, постоји гомила активних вгет-ова (или цурл-ова) који виси на адресама из скрипте за инсталацију (погледајте доле), за сада их обарам овако, али они почињу поново:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Пронашао сам скрипту за инсталацију тројанаца овде (центос): /уср/лоцал/бин/нптд... Не постављам је да бих је избегао, али ако је неко заражен и разуме схелл скрипте, молимо вас да је пажљивије проучите.
Додаћу како се информације ажурирају.
УПД 1: Брисање датотека (са прелиминарним цхаттр -и) /етц/црон.д/роот, /етц/цронтаб, рм -Рф /вар/споол/црон/роот није помогло, нити заустављање услуге - морао сам цронтаб га за сада потпуно исцепи (преименуј бин фајл).
УПД 2: Тројански програм за инсталацију понекад је лежао и на другим местима, претраживање по величини је помогло:
пронађи / -величина 19825ц
УПД 3: Упозорење! Поред онемогућавања селинукса, тројанац додаје и свој ССХ кључ у ${ссхдир}/аутхоризед_кеис! И активира следећа поља у /етц/ссх/ссхд_цонфиг, ако већ нису постављена на ДА:
ПермитРоотЛогин да
РСАА аутентификација да
ПубкеиАутхентицатион да
ецхо УсеПАМ да
ПассвордАутхентицатион да
УПД 4: За сада да резимирамо: онемогућите Еким, црон (са роотс-ом), хитно уклоните тројански кључ са ссх-а и уредите ссхд конфигурацију, поново покрените ссхд! И још није јасно да ли ће ово помоћи, али без тога постоји проблем.
Важне информације из коментара о закрпама/ажурирања сам преместио на почетак белешке, тако да читаоци почну са њом.
УПД 5: да је малвер променио лозинке у ВордПресс-у.
УПД 6: , хајде да тестирамо! Након поновног покретања или искључивања, чини се да лек нестаје, али за сада је барем то.
Свако ко направи (или нађе) стабилно решење нека пише, многима ћеш помоћи.
УПД 7: пише:
Ако већ нисте рекли да је вирус васкрсао захваљујући непослатом писму у Екиму, када поново покушате да пошаљете писмо, оно се враћа, погледајте у /вар/споол/еким4
Можете да обришете цео Еким ред на следећи начин:
екипицк -и | каргс еким -Мрм
Провера броја уноса у реду:
еким -бпц
УПД 8: Поново : ФирстВДС је понудио своју верзију скрипте лечења, хајде да је тестирамо!
УПД 9: Изгледа дела, Хвала за сценарио!
Главна ствар је да не заборавимо да је сервер већ био компромитован и да су нападачи могли да подметну још неке нетипичне гадости (које нису наведене у дропперу).
Зато је боље да пређете на потпуно инсталиран сервер (вдс), или бар да наставите да пратите тему - ако има нечег новог, пишите у коментарима овде, јер очигледно неће сви прећи на нову инсталацију...
УПД 10: Хвала још једном : подсећа да нису само сервери заражени, већ и Распберри Пи, и све врсте виртуелних машина... Дакле, након што сачувате сервере, не заборавите да сачувате своје видео конзоле, роботе итд.
УПД 11: Од Важна напомена за ручне исцелитеље:
(након коришћења једног или другог метода борбе против овог малвера)
Дефинитивно морате да рестартујете - злонамерни софтвер се налази негде у отвореним процесима и, сходно томе, у меморији, и уписује себи нови за црон сваких 30 секунди
УПД 12: Еким има још један(?) малвер у реду и саветује вам да прво проучите свој специфични проблем пре него што почнете са лечењем.
УПД 13: радије, пређите на чист систем и изузетно пажљиво преносите датотеке, јер Малвер је већ јавно доступан и може се користити на друге, мање очигледне и опасније начине.
УПД 14: уверавање себе да паметни људи не беже од корена – још једна ствар :
Чак и ако не ради испод роот-а, долази до хаковања... Имам дебиан јессие УПД: растегни на мом ОрангеПи-у, Еким ради са Дебиан-еким-а и још се дешавало хаковање, изгубљене круне, итд.
УПД 15: када прелазите на чист сервер са компромитованог, не заборавите на хигијену, :
Када преносите податке, обратите пажњу не само на извршне или конфигурационе датотеке, већ и на све што може да садржи злонамерне команде (на пример, у МиСКЛ-у то може бити ЦРЕАТЕ ТРИГГЕР или ЦРЕАТЕ ЕВЕНТ). Такође, не заборавите на .хтмл, .јс, .пхп, .пи и друге јавне датотеке (идеално би ове датотеке, као и друге податке, требало да буду враћене из локалног или другог поузданог складишта).
УПД 16: и : систем је имао једну верзију Еким-а инсталирану на портовима, али је у стварности радио другу.
Дакле, сви након ажурирања треба да се уверите да користите нову верзију!
exim --versionЗаједно смо решавали њихову конкретну ситуацију.
Сервер је користио ДирецтАдмин и његов стари пакет да_еким (стара верзија, без рањивости).
Истовремено, уз помоћ ДирецтАдмин-овог цустомбуилд менаџера пакета, у ствари, тада је инсталирана новија верзија Еким-а, која је већ била рањива.
У овој конкретној ситуацији, ажурирање путем цустомбуилд-а је такође помогло.
Не заборавите да направите резервне копије пре таквих експеримената, а такође се уверите да су пре/после ажурирања сви Еким процеси старе верзије а не „заглављени” у сећању.
Извор: ввв.хабр.цом