Basebetsi-'moho le bona ba sebelisang liphetolelo tsa Exim 4.87...4.91 ho li-server tsa bona tsa mangolo-ntlafatso ka potlako ho mofuta oa 4.92, ha ba qeta ho emisa Exim ka boeona e le ho qoba ho utsoa ka CVE-2019-10149.
Li-server tse limilione tse 'maloa ho pota lefatše li ka ba kotsing, ho ba kotsing ho nkoa e le ntho ea bohlokoa (CVSS 3.0 base score = 9.8/10). Bahlaseli ba ka tsamaisa litaelo tse sa reroang ho seva sa hau, maemong a mangata ho tsoa ho motso.
Ka kopo etsa bonnete ba hore u sebelisa mofuta o tsitsitseng (4.92) kapa o seng o ntse o patiloe.
Kapa roala e teng, bona khoele .
Nchafatso bakeng sa cento 6: cm. - bakeng sa centos 7 e boetse e sebetsa, haeba e e-s'o fihle ka ho toba ho tloha epel.
UPD: Botho bo amehile 18.04 le 18.10, ho lokollotsoe ntlafatso bakeng sa bona. Liphetolelo tsa 16.04 le 19.04 ha li amehe ntle le haeba likhetho tsa moetlo li kentsoe ho tsona. Lintlha tse ling .
Hona joale bothata bo hlalositsoeng moo bo ntse bo sebelisoa ka mafolofolo (ke bot, mohlomong), ke hlokometse ts'oaetso ho li-server tse ling (tse tsamaeang ka 4.91).
Ho bala ho eketsehileng ho bohlokoa feela bakeng sa ba seng ba "e fumane" - o hloka ho tsamaisa ntho e 'ngoe le e' ngoe ho ea VPS e hloekileng ka software e ncha, kapa u batle tharollo. Re tla leka? Ngola hore na ho na le motho ea ka hlolang malware ana.
Haeba uena, u le mosebelisi oa Exim 'me u bala sena, u ntse u so ka u ntlafatsa (ha u so etse bonnete ba hore 4.92 kapa mofuta o patiloeng oa fumaneha), ka kopo ema 'me u mathe ho ntlafatsa.
Ho ba seng ba fihlile mono, ha re tsoeleng pele...
UPD: mme e fana ka likeletso tse nepahetseng:
Ho ka ba le mefuta e mengata e fapaneng ea malware. Ka ho qala moriana bakeng sa ntho e fosahetseng le ho hlakola letoto, mosebelisi a ke ke a phekoleha 'me mohlomong ha a tsebe hore na o hloka ho phekoloa eng.
Tšoaetso e bonahala ka tsela ena: [kthrotlds] e jarisa processor; ho VDS e fokolang ke 100%, ho li-server e fokola empa e bonahala.
Ka mor'a ts'oaetso, malware a hlakola cron, e ingolisa feela moo ho matha metsotso e meng le e meng ea 4, ha e ntse e etsa hore faele ea crontab e se ke ea fetoha. Crontab -e ha e khone ho boloka liphetoho, e fana ka phoso.
E sa fetoheng e ka tlosoa, mohlala, ka tsela ena, ebe o hlakola mohala oa taelo (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
E latelang, ho mohlophisi oa crontab (vim), hlakola mohala ebe u boloka:dd
:wq
Leha ho le joalo, tse ling tsa lits'ebetso tse sebetsang li ntse li ngola hape, kea e utloisisa.
Ka nako e ts'oanang, ho na le sehlopha sa li-wgets tse sebetsang (kapa li-curls) tse leketlileng liaterese ho tsoa ho sengoloa sa ho kenya (sheba ka tlase), ke li lahlela fatše tjena hajoale, empa li qala hape:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ke fumane script ea Trojan installer mona (centos): /usr/local/bin/nptd... Ha ke e romelle ho e qoba, empa haeba mang kapa mang a tšoaelitsoe mme a utloisisa mangolo a likhetla, ka kopo e ithute ka hloko.
Ke tla eketsa ha litaba li ntse li nchafatsoa.
UPD 1: Ho hlakola lifaele (ka pele chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ha ea ka ea thusa, leha e le ho emisa tšebeletso - ke ile ka tlameha ho crontab ka botlalo hajoale e e ntše (reha file ea bin hape).
UPD 2: Sesebelisoa sa Trojan ka linako tse ling se ne se boetse se rapaletse libakeng tse ling, ho batlisisa ka boholo ho thusitse:
fumana / -size 19825c
UPD 3/XNUMX/XNUMX: Ela hloko ka kopo! Ntle le ho tima selinux, Trojan e boetse e eketsa ea eona Senotlolo sa SSH ka ${sshdir}/authorized_keys! 'Me e kenya tšebetsong likarolo tse latelang ho /etc/ssh/sshd_config, haeba li so beoa ho YES:
PermitRootLogin ho joalo
RSAA Netefatso ho joalo
Bopaki Bopaki e
echo UsePAM e
PasswordAuthentication ho joalo
UPD 4: Ho akaretsa hajoale: tima Exim, cron (ka metso), tlosa senotlolo sa Trojan ka potlako ho ssh ebe u hlophisa sshd config, qala sshd hape! 'Me ha e e-s'o hlake hore sena se tla thusa, empa ntle le eona ho na le bothata.
Ke tsamaisitse tlhahisoleseling ea bohlokoa ho tsoa maikutlong mabapi le li-patches / liapdeite ho ea qalong ea lengolo, e le hore babali ba qale ka eona.
UPD 5/XNUMX/XNUMX: hore malware a fetotse li-passwords ho WordPress.
UPD 6/XNUMX/XNUMX: , a re lekeng! Kamora ho qala bocha kapa ho koala, moriana o bonahala o nyamela, empa hajoale ke ona.
Mang kapa mang ea etsang (kapa a fumana) tharollo e tsitsitseng, ka kopo ngola, o tla thusa ba bangata.
UPD 7/XNUMX/XNUMX: oa ngola:
Haeba ha u so bolele hore kokoana-hloko e tsositsoe ka lebaka la lengolo le sa romelloang ho Exim, ha u leka ho romela lengolo hape, le tsosolosoa, sheba ho /var/spool/exim4
O ka hlakola lethathamo lohle la Exim ka tsela ena:
epick -ke | xargs exim - Mong
Ho lekola palo ea likenyelletso meleng:
mohlala -bpc
UPD 8: Hape : FirstVDS e fane ka mofuta oa bona oa mongolo bakeng sa kalafo, a re e hlahlobeng!
UPD 9: Ho bonahala eka mesebetsi, Kea leboha bakeng sa script!
Ntho e ka sehloohong ke hore u se ke ua lebala hore seva se ne se se se senyehile 'me bahlaseli ba ka be ba khonne ho lema lintho tse ling tse mpe tse sa tloaelehang (tse sa thathamisitsoeng ho dropper).
Ka hona, ho molemo ho fallela ho seva se kentsoeng ka ho feletseng (vds), kapa bonyane tsoela pele ho shebella sehlooho - haeba ho na le ntho e ncha, ngola litlhaloso mona, hobane ho hlakile hore ha se bohle ba tla fallela sebakeng se secha ...
UPD 10: Kea leboha hape : e hopotsa hore hase li-server feela tse nang le tšoaetso, empa hape Pi ea Raspberry, le mefuta eohle ea mechine ea sebele ... Kahoo ka mor'a ho boloka lisebelisoa, u se ke ua lebala ho boloka li-consoles tsa hau tsa video, liroboto, joalo-joalo.
UPD 11: Ho tloha Taba ea bohlokoa bakeng sa bafolisi ba matsoho:
(kamora ho sebelisa mokhoa o le mong kapa o mong oa ho loants'a malware ana)
Ehlile u hloka ho qala bocha - malware e lula kae-kae lits'ebetsong tse bulehileng, ka hona, mohopolong, 'me e ingolla e ncha ho cron metsotsoana e meng le e meng e 30.
UPD 12/XNUMX/XNUMX: Exim e na le malware e 'ngoe (?) moleng oa eona 'me e u eletsa hore u ithute bothata ba hau pele u qala kalafo.
UPD 13/XNUMX/XNUMX: ho e-na le hoo, fallela tsamaisong e hloekileng, 'me u fetise lifaele ka hloko haholo, hobane Malware e se e fumaneha phatlalatsa mme e ka sebediswa ka ditsela tse ding tse sa totobalang le tse kotsi.
UPD 14: ho ikholisa hore batho ba bohlale ha ba balehe motso - ntho e 'ngoe hape :
Esita le haeba e sa sebetse ho tloha motso, ho hacking ho etsahala ... Ke na le debian jessie UPD: otlolla OrangePi ea ka, Exim e matha ho tloha Debian-exim mme ho ntse ho hacking ho etsahetse, meqhaka e lahlehileng, joalo-joalo.
UPD 15: ha u fallela ho seva e hloekileng ho tloha ho e senyehileng, u se ke ua lebala ka bohloeki, :
Ha o fetisetsa data, ela hloko eseng feela ho lifaele tse phethiloeng kapa tse hlophisitsoeng, empa hape le ho eng kapa eng e ka ba le litaelo tse mpe (mohlala, ho MySQL sena se ka ba CREATE TRIGGER kapa CREATE EVENT). Hape, u se ke ua lebala ka .html, .js, .php, .py le lifaele tse ling tsa sechaba (ha e le hantle lifaele tsena, joaloka lintlha tse ling, li lokela ho tsosolosoa ho tloha sebakeng sa polokelo ea lehae kapa tse ling tse tšeptjoang).
UPD 16/XNUMX/XNUMX: и : sistimi e ne e e-na le mofuta o le mong oa Exim o kentsoeng likoung, empa ha e le hantle e ne e sebetsa e 'ngoe.
Kahoo bohle ka mor'a ho apdeita u lokela ho etsa bonnete ba hore u sebelisa mofuta o mocha!
exim --versionRe ile ra lokisa boemo ba bona bo khethehileng hammoho.
Seva e sebelisitse DirectAdmin le sephutheloana sa eona sa khale sa da_exim (mofuta oa khale, ntle le ho ba kotsing).
Ka nako e ts'oanang, ka thuso ea mookameli oa sephutheloana sa DirectAdmin, ha e le hantle, ho ile ha kenngoa mofuta o mocha oa Exim, o neng o se o ntse o le kotsing.
Boemong bona, ho ntlafatsa ka custombuild le hona ho thusitse.
Se ke oa lebala ho etsa li-backups pele ho liteko tse joalo, hape etsa bonnete ba hore pele / ka mor'a ntlafatso lits'ebetso tsohle tsa Exim ke tsa mofuta oa khale. le ho se “khomarele” mohopolong.
Source: www.habr.com