Kolega anu nganggo vérsi Exim 4.87...4.91 dina pangladén suratna - gancang ngamutahirkeun kana vérsi 4.92, saacanna ngeureunkeun Exim sorangan pikeun nyegah hacking ngaliwatan CVE-2019-10149.
Sababaraha juta server di sakumna dunya berpotensi rentan, kerentanan dinilai kritis (skor dasar CVSS 3.0 = 9.8/10). Panyerang tiasa ngajalankeun paréntah sawenang dina server anjeun, dina seueur kasus tina akar.
Punten pastikeun anjeun nganggo versi tetep (4.92) atanapi anu parantos ditambal.
Atawa patch nu aya, tingali thread
Update pikeun sén 6: cm.
UPD: Ubuntu kapangaruhan 18.04 na 18.10, apdet geus dileupaskeun pikeun aranjeunna. Versi 16.04 sareng 19.04 henteu kapangaruhan kecuali pilihan khusus dipasang dina aranjeunna. Leuwih jéntré
Ayeuna masalah dijelaskeun aya keur aktip dieksploitasi (ku bot a, presumably), Kuring noticed inféksi dina sababaraha server (ngajalankeun on 4.91).
Bacaan salajengna relevan ngan ukur pikeun anu parantos "meunangna" - anjeun kedah ngangkut sadayana kana VPS bersih kalayan parangkat lunak seger, atanapi milarian solusi. Dupi urang nyobian? Tulis upami aya anu tiasa ngatasi malware ieu.
Upami anjeun, salaku pangguna Exim sareng maca ieu, masih teu acan diropéa (henteu mastikeun yén 4.92 atanapi versi patched sayogi), punten lirén sareng ngajalankeun pikeun ngapdet.
Pikeun anu parantos sumping, hayu urang teraskeun ...
UPS:
Bisa aya rupa-rupa hébat malware. Ku ngaluncurkeun ubar pikeun hal anu salah sareng ngabersihkeun antrian, pangguna moal diubaran sareng panginten henteu terang naon anu anjeunna kedah dirawat.
Inféksi téh noticeable kawas kieu: [kthrotlds] beban processor; dina VDS lemah éta 100%, dina server éta lemah tapi noticeable.
Saatos inféksi, malware ngahapus éntri cron, ngan ukur ngadaptarkeun nyalira pikeun ngajalankeun unggal 4 menit, bari ngajantenkeun file crontab teu tiasa dirobih. Crontab -e teu bisa nyimpen parobahan, méré kasalahan.
Immutable tiasa dihapus, contona, sapertos kieu, teras pupus garis paréntah (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Salajengna, dina pangropéa crontab (vim), hapus garis sareng simpen:dd
:wq
Sanajan kitu, sababaraha prosés aktip anu overwriting deui, Kuring figuring eta kaluar.
Dina waktos anu sami, aya sakumpulan wgets aktip (atanapi curls) ngagantung dina alamat tina skrip installer (tingali di handap), kuring ngagentos aranjeunna sapertos ayeuna, tapi aranjeunna ngamimitian deui:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Kuring manggihan skrip installer Trojan dieu (centos): /usr/local/bin/nptd... Kuring teu ngeposkeun eta pikeun ngahindarkeun eta, tapi lamun saha anu kainféksi jeung understands Aksara cangkang, mangga diajar eta leuwih taliti.
Kuring bakal nambahan salaku informasi diropéa.
UPD 1: Ngahapus file (kalayan chattr -i awal) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root henteu ngabantosan, atanapi ngeureunkeun jasa - kuring kedah crontab lengkep pikeun ayeuna cimata kaluar (ganti ngaran file bin).
UPD 2: Pamasang Trojan sakapeung ogé ngagolér di tempat sanés, milarian dumasar kana ukuran ngabantosan:
manggihan / -ukuran 19825c
UPD 3/XNUMX/XNUMX: Awas! Salian nganonaktipkeun selinux, Trojan ogé nambihan sorangan konci SSH dina ${sshdir}/authorized_keys! Sareng aktipkeun widang di handap ieu dina /etc/ssh/sshd_config, upami aranjeunna henteu acan disetel ka YES:
PermitRootLogin enya
RSAAuthentication enya
PubkeyAuthentication enya
gema UsePAM enya
PasswordAuthentication enya
UPD 4: Pikeun nyimpulkeun pikeun ayeuna: mareuman Exim, cron (kalayan akar), urgently cabut konci Trojan tina ssh tur edit sshd config, balikan deui sshd! Sareng éta henteu acan écés yén ieu bakal ngabantosan, tapi tanpa éta aya masalah.
Kuring dipindahkeun informasi penting tina komentar ngeunaan patch / apdet ka awal catetan, ku kituna pamiarsa mimitian ku eta.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Saha waé anu ngadamel (atanapi mendakan) solusi anu stabil, punten nyerat, anjeun bakal ngabantosan seueur.
UPD 7/XNUMX/XNUMX:
Upami anjeun teu acan nyarios yén virus dibangkitkeun deui berkat surat anu teu dikirim dina Exim, nalika anjeun nyobian ngirim surat deui, éta disimpen deui, tingali dina /var/spool/exim4
Anjeun tiasa mupus sadaya antrian Exim sapertos kieu:
expick -i | xargs exim -Mrm
Mariksa jumlah éntri dina antrian:
exim -bpc
UPD 8: Deui
UPD 9: Sigana mah berpungsi, Hatur nuhun
Hal utama henteu hilap yén server parantos dikompromi sareng panyerang tiasa tiasa melak sababaraha hal jahat anu langkung atypical (teu didaptarkeun dina dropper).
Ku alatan éta, leuwih sae pikeun ngalih ka server lengkep dipasang (vds), atawa sahenteuna neruskeun ngawas topik - lamun aya nanaon anyar, nulis dina komentar di dieu, sabab Jelas henteu sadayana bakal ngalih ka pamasangan anu énggal ...
UPD 10: Hatur nuhun deui
UPD 11: Ti
(sanggeus ngagunakeun hiji atawa cara séjén pikeun merangan malware ieu)
Anjeun pasti kedah reboot - malware linggih di mana waé dina prosés kabuka sareng, sasuai, dina mémori, sareng nyerat sorangan anu énggal pikeun cron unggal 30 detik
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: ngayakinkeun diri urang yén jalma pinter henteu kabur tina akar - hiji deui
Malah lamun teu dianggo ti root, Hacking lumangsung ... Kuring boga debian jessie UPD: manteng on OrangePi kuring, Exim ngajalankeun ti Debian-exim sarta masih Hacking lumangsung, crowns leungit, jsb.
UPD 15: nalika ngalih ka server anu bersih tina anu dikompromi, ulah hilap ngeunaan kabersihan,
Nalika nransferkeun data, perhatikeun henteu ngan ukur file anu tiasa dieksekusi atanapi konfigurasi, tapi ogé kana naon waé anu tiasa ngandung paréntah jahat (contona, dina MySQL ieu tiasa CREATE TRIGGER atanapi CREATE EVENT). Oge, ulah poho ngeunaan .html, .js, .php, .py jeung payel publik lianna (ideally file ieu, kawas data sejenna, kudu dibalikkeun ti gudang dipercaya lokal atawa lianna).
UPD 16/XNUMX/XNUMX:
Jadi dulur sanggeus update anjeun kudu mastikeun yén anjeun nganggo versi anyar!
exim --version
Urang nyortir kaluar kaayaan husus maranéhanana babarengan.
Server nganggo DirectAdmin sareng pakét da_exim anu lami (versi lami, tanpa kerentanan).
Dina waktos anu sami, kalayan bantosan manajer pakét custombuild DirectAdmin, kanyataanna, versi Exim anu langkung énggal dipasang, anu parantos rentan.
Dina kaayaan husus ieu, ngamutahirkeun via custombuild ogé mantuan.
Tong hilap ngadamel cadangan sateuacan ékspérimén sapertos kitu, sareng ogé pastikeun sateuacan/sanggeus ngapdet sadaya prosés Exim mangrupikeun vérsi anu lami.
sumber: www.habr.com