Basebetsi-'moho le bona ba sebelisang liphetolelo tsa Exim 4.87...4.91 ho li-server tsa bona tsa mangolo-ntlafatso ka potlako ho mofuta oa 4.92, ha ba qeta ho emisa Exim ka boeona e le ho qoba ho utsoa ka CVE-2019-10149.
Li-server tse limilione tse 'maloa ho pota lefatše li ka ba kotsing, ho ba kotsing ho nkoa e le ntho ea bohlokoa (CVSS 3.0 base score = 9.8/10). Bahlaseli ba ka tsamaisa litaelo tse sa reroang ho seva sa hau, maemong a mangata ho tsoa ho motso.
Ka kopo etsa bonnete ba hore u sebelisa mofuta o tsitsitseng (4.92) kapa o seng o ntse o patiloe.
Kapa roala e teng, bona khoele
Nchafatso bakeng sa cento 6: cm.
UPD: Botho bo amehile 18.04 le 18.10, ho lokollotsoe ntlafatso bakeng sa bona. Liphetolelo tsa 16.04 le 19.04 ha li amehe ntle le haeba likhetho tsa moetlo li kentsoe ho tsona. Lintlha tse ling
Hona joale bothata bo hlalositsoeng moo bo ntse bo sebelisoa ka mafolofolo (ke bot, mohlomong), ke hlokometse ts'oaetso ho li-server tse ling (tse tsamaeang ka 4.91).
Ho bala ho eketsehileng ho bohlokoa feela bakeng sa ba seng ba "e fumane" - o hloka ho tsamaisa ntho e 'ngoe le e' ngoe ho ea VPS e hloekileng ka software e ncha, kapa u batle tharollo. Re tla leka? Ngola hore na ho na le motho ea ka hlolang malware ana.
Haeba uena, u le mosebelisi oa Exim 'me u bala sena, u ntse u so ka u ntlafatsa (ha u so etse bonnete ba hore 4.92 kapa mofuta o patiloeng oa fumaneha), ka kopo ema 'me u mathe ho ntlafatsa.
Ho ba seng ba fihlile mono, ha re tsoeleng pele...
UPD:
Ho ka ba le mefuta e mengata e fapaneng ea malware. Ka ho qala moriana bakeng sa ntho e fosahetseng le ho hlakola letoto, mosebelisi a ke ke a phekoleha 'me mohlomong ha a tsebe hore na o hloka ho phekoloa eng.
Tšoaetso e bonahala ka tsela ena: [kthrotlds] e jarisa processor; ho VDS e fokolang ke 100%, ho li-server e fokola empa e bonahala.
Ka mor'a ts'oaetso, malware a hlakola cron, e ingolisa feela moo ho matha metsotso e meng le e meng ea 4, ha e ntse e etsa hore faele ea crontab e se ke ea fetoha. Crontab -e ha e khone ho boloka liphetoho, e fana ka phoso.
E sa fetoheng e ka tlosoa, mohlala, ka tsela ena, ebe o hlakola mohala oa taelo (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
E latelang, ho mohlophisi oa crontab (vim), hlakola mohala ebe u boloka:dd
:wq
Leha ho le joalo, tse ling tsa lits'ebetso tse sebetsang li ntse li ngola hape, kea e utloisisa.
Ka nako e ts'oanang, ho na le sehlopha sa li-wgets tse sebetsang (kapa li-curls) tse leketlileng liaterese ho tsoa ho sengoloa sa ho kenya (sheba ka tlase), ke li lahlela fatše tjena hajoale, empa li qala hape:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ke fumane script ea Trojan installer mona (centos): /usr/local/bin/nptd... Ha ke e romelle ho e qoba, empa haeba mang kapa mang a tšoaelitsoe mme a utloisisa mangolo a likhetla, ka kopo e ithute ka hloko.
Ke tla eketsa ha litaba li ntse li nchafatsoa.
UPD 1: Ho hlakola lifaele (ka pele chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ha ea ka ea thusa, leha e le ho emisa tšebeletso - ke ile ka tlameha ho crontab ka botlalo hajoale e e ntše (reha file ea bin hape).
UPD 2: Sesebelisoa sa Trojan ka linako tse ling se ne se boetse se rapaletse libakeng tse ling, ho batlisisa ka boholo ho thusitse:
fumana / -size 19825c
UPD 3/XNUMX/XNUMX: Ela hloko ka kopo! Ntle le ho tima selinux, Trojan e boetse e eketsa ea eona Senotlolo sa SSH ka ${sshdir}/authorized_keys! 'Me e kenya tšebetsong likarolo tse latelang ho /etc/ssh/sshd_config, haeba li so beoa ho YES:
PermitRootLogin ho joalo
RSAA Netefatso ho joalo
Bopaki Bopaki e
echo UsePAM e
PasswordAuthentication ho joalo
UPD 4: Ho akaretsa hajoale: tima Exim, cron (ka metso), tlosa senotlolo sa Trojan ka potlako ho ssh ebe u hlophisa sshd config, qala sshd hape! 'Me ha e e-s'o hlake hore sena se tla thusa, empa ntle le eona ho na le bothata.
Ke tsamaisitse tlhahisoleseling ea bohlokoa ho tsoa maikutlong mabapi le li-patches / liapdeite ho ea qalong ea lengolo, e le hore babali ba qale ka eona.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Mang kapa mang ea etsang (kapa a fumana) tharollo e tsitsitseng, ka kopo ngola, o tla thusa ba bangata.
UPD 7/XNUMX/XNUMX:
Haeba ha u so bolele hore kokoana-hloko e tsositsoe ka lebaka la lengolo le sa romelloang ho Exim, ha u leka ho romela lengolo hape, le tsosolosoa, sheba ho /var/spool/exim4
O ka hlakola lethathamo lohle la Exim ka tsela ena:
epick -ke | xargs exim - Mong
Ho lekola palo ea likenyelletso meleng:
mohlala -bpc
UPD 8: Hape
UPD 9: Ho bonahala eka mesebetsi, Kea leboha
Ntho e ka sehloohong ke hore u se ke ua lebala hore seva se ne se se se senyehile 'me bahlaseli ba ka be ba khonne ho lema lintho tse ling tse mpe tse sa tloaelehang (tse sa thathamisitsoeng ho dropper).
Ka hona, ho molemo ho fallela ho seva se kentsoeng ka ho feletseng (vds), kapa bonyane tsoela pele ho shebella sehlooho - haeba ho na le ntho e ncha, ngola litlhaloso mona, hobane ho hlakile hore ha se bohle ba tla fallela sebakeng se secha ...
UPD 10: Kea leboha hape
UPD 11: Ho tloha
(kamora ho sebelisa mokhoa o le mong kapa o mong oa ho loants'a malware ana)
Ehlile u hloka ho qala bocha - malware e lula kae-kae lits'ebetsong tse bulehileng, ka hona, mohopolong, 'me e ingolla e ncha ho cron metsotsoana e meng le e meng e 30.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: ho ikholisa hore batho ba bohlale ha ba balehe motso - ntho e 'ngoe hape
Esita le haeba e sa sebetse ho tloha motso, ho hacking ho etsahala ... Ke na le debian jessie UPD: otlolla OrangePi ea ka, Exim e matha ho tloha Debian-exim mme ho ntse ho hacking ho etsahetse, meqhaka e lahlehileng, joalo-joalo.
UPD 15: ha u fallela ho seva e hloekileng ho tloha ho e senyehileng, u se ke ua lebala ka bohloeki,
Ha o fetisetsa data, ela hloko eseng feela ho lifaele tse phethiloeng kapa tse hlophisitsoeng, empa hape le ho eng kapa eng e ka ba le litaelo tse mpe (mohlala, ho MySQL sena se ka ba CREATE TRIGGER kapa CREATE EVENT). Hape, u se ke ua lebala ka .html, .js, .php, .py le lifaele tse ling tsa sechaba (ha e le hantle lifaele tsena, joaloka lintlha tse ling, li lokela ho tsosolosoa ho tloha sebakeng sa polokelo ea lehae kapa tse ling tse tšeptjoang).
UPD 16/XNUMX/XNUMX:
Kahoo bohle ka mor'a ho apdeita u lokela ho etsa bonnete ba hore u sebelisa mofuta o mocha!
exim --version
Re ile ra lokisa boemo ba bona bo khethehileng hammoho.
Seva e sebelisitse DirectAdmin le sephutheloana sa eona sa khale sa da_exim (mofuta oa khale, ntle le ho ba kotsing).
Ka nako e ts'oanang, ka thuso ea mookameli oa sephutheloana sa DirectAdmin, ha e le hantle, ho ile ha kenngoa mofuta o mocha oa Exim, o neng o se o ntse o le kotsing.
Boemong bona, ho ntlafatsa ka custombuild le hona ho thusitse.
Se ke oa lebala ho etsa li-backups pele ho liteko tse joalo, hape etsa bonnete ba hore pele / ka mor'a ntlafatso lits'ebetso tsohle tsa Exim ke tsa mofuta oa khale.
Source: www.habr.com