Kollegor som använder Exim version 4.87...4.91 på sina e-postservrar - uppdatera brådskande till version 4.92, efter att först ha stoppat Exim själv för att undvika hackning genom CVE-2019-10149.
Flera miljoner servrar runt om i världen är potentiellt sårbara, sårbarheten bedöms som kritisk (CVSS 3.0 baspoäng = 9.8/10). Angripare kan köra godtyckliga kommandon på din server, i många fall från root.
Se till att du använder en fast version (4.92) eller en som redan har korrigerats.
Eller lappa den befintliga, se tråden .
Uppdatering för centos 6: centimeter. — för centos 7 fungerar det också, om det inte har kommit direkt från epel än.
UPD: Ubuntu påverkas 18.04 och 18.10, en uppdatering har släppts för dem. Versioner 16.04 och 19.04 påverkas inte om inte anpassade tillval har installerats på dem. Fler detaljer .
Nu problemet som beskrivs där utnyttjas aktivt (förmodligen av en bot), jag märkte en infektion på vissa servrar (kör på 4.91).
Ytterligare läsning är endast relevant för dem som redan har "skaffat det" - du måste antingen transportera allt till en ren VPS med färsk programvara eller leta efter en lösning. Ska vi försöka? Skriv om någon kan övervinna detta skadliga program.
Om du, som är Exim-användare och som läser detta, fortfarande inte har uppdaterat (inte har sett till att 4.92 eller en korrigerad version är tillgänglig), vänligen sluta och kör för att uppdatera.
För de som redan har kommit dit, låt oss fortsätta...
UPD: och ger rätt råd:
Det kan finnas en mängd olika skadliga program. Genom att lansera medicinen för fel sak och rensa i kön blir användaren inte botad och kanske inte vet vad han behöver behandlas för.
Infektionen märks så här: [kthrotlds] laddar processorn; på en svag VDS är det 100%, på servrar är det svagare men märkbart.
Efter infektion tar skadlig programvara bort cron-poster och registrerar bara sig själv där för att köras var 4:e minut, samtidigt som crontab-filen är oföränderlig. Crontab -e kan inte spara ändringar, ger ett fel.
Immutable kan tas bort, till exempel, så här, och sedan radera kommandoraden (1.5 kb):
chattr -i /var/spool/cron/root
crontab -e
Ta sedan bort raden i crontab-redigeraren (vim) och spara:dd
:wq
Men några av de aktiva processerna skriver över igen, jag kommer på det.
Samtidigt finns det ett gäng aktiva wgets (eller lockar) som hänger på adresserna från installationsskriptet (se nedan), jag slår ner dem så här för nu, men de börjar igen:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Jag hittade det trojanska installationsskriptet här (centos): /usr/local/bin/nptd... Jag lägger inte upp det för att undvika det, men om någon är infekterad och förstår skalskript, vänligen studera det mer noggrant.
Jag lägger till när informationen uppdateras.
UPD 1: Att ta bort filer (med preliminär chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root hjälpte inte, inte heller att stoppa tjänsten - jag var tvungen att crontab helt och hållet riva ut den (byt namn på bin-filen).
UPD 2: Det trojanska installationsprogrammet låg ibland också på andra ställen, att söka efter storlek hjälpte:
fynd / -storlek 19825c
UPD3: Varning! Förutom att inaktivera selinux, lägger trojanen också till sin egen SSH-nyckel i ${sshdir}/authorized_keys! Och aktiverar följande fält i /etc/ssh/sshd_config, om de inte redan har ställts in på YES:
PermitRootLogin ja
RSAAautentisering ja
PubkeyAuthentication ja
echo UsePAM ja
PasswordAuthentication ja
UPD 4: För att sammanfatta nu: inaktivera Exim, cron (med rötter), ta brådskande bort den trojanska nyckeln från ssh och redigera sshd-konfigurationen, starta om sshd! Och det är ännu inte klart att detta kommer att hjälpa, men utan det finns det ett problem.
Jag flyttade viktig information från kommentarerna om patchar/uppdateringar till början av anteckningen, så att läsarna börjar med den.
UPD5: att skadlig programvara ändrade lösenord i WordPress.
UPD6: , låt oss testa! Efter en omstart eller avstängning verkar medicinen försvinna, men för nu är åtminstone det det.
Alla som gör (eller hittar) en stabil lösning, skriv gärna, du hjälper många.
UPD7: skriver:
Om du inte redan har sagt att viruset återuppstår tack vare ett osänt brev i Exim, när du försöker skicka brevet igen, är det återställt, titta i /var/spool/exim4
Du kan rensa hela Exim-kön så här:
exipick -i | xargs exim -Mrm
Kontrollera antalet poster i kön:
exim -bpc
UPD 8: Igen : FirstVDS erbjöd sin version av behandlingsskriptet, låt oss testa det!
UPD 9: Det ser ut som arbetar, tack för manuset!
Det viktigaste är att inte glömma att servern redan var intrång och att angriparna kunde ha lyckats plantera lite mer atypiska otäcka saker (inte listade i dropparen).
Därför är det bättre att flytta till en helt installerad server (vds), eller åtminstone fortsätta att övervaka ämnet - om det är något nytt, skriv i kommentarerna här, eftersom uppenbarligen kommer inte alla att flytta till en ny installation...
UPD 10: Tack igen : det påminner om att inte bara servrar är infekterade, utan också hallon Pi, och alla möjliga virtuella maskiner... Så efter att du har sparat servrarna, glöm inte att spara dina videokonsoler, robotar, etc.
UPD 11: Från Viktig anmärkning för manuella healers:
(efter att ha använt en eller annan metod för att bekämpa denna skadliga programvara)
Du måste definitivt starta om - skadlig programvara sitter någonstans i öppna processer och följaktligen i minnet och skriver själv en ny för att cron var 30:e sekund
UPD12: Exim har en annan(?) skadlig programvara i sin kö och råder dig att först studera ditt specifika problem innan behandlingen påbörjas.
UPD13: i stället flytta till ett rent system och överför filer extremt försiktigt, eftersom Skadlig programvara är redan allmänt tillgänglig och kan användas på andra, mindre uppenbara och farligare sätt.
UPD 14: att försäkra oss om att smarta människor inte springer från roten - en sak till :
Även om det inte fungerar från root sker hackning... Jag har debian jessie UPD: sträck på min OrangePi, Exim körs från Debian-exim och fortfarande hände hacking, förlorade kronor, etc.
UPD 15: när du flyttar till en ren server från en komprometterad server, glöm inte hygienen, :
När du överför data, var uppmärksam inte bara på körbara filer eller konfigurationsfiler, utan också på allt som kan innehålla skadliga kommandon (till exempel i MySQL kan detta vara CREATE TRIGGER eller CREATE EVENT). Glöm inte heller .html, .js, .php, .py och andra offentliga filer (helst bör dessa filer, liksom andra data, återställas från lokal eller annan pålitlig lagring).
UPD16: и : systemet hade en version av Exim installerad i portarna, men i verkligheten körde det en annan.
Så alla efter uppdateringen bör du se till att du använder den nya versionen!
exim --versionVi red ut deras specifika situation tillsammans.
Servern använde DirectAdmin och dess gamla da_exim-paket (gammal version, utan sårbarhet).
Samtidigt, med hjälp av DirectAdmins custombuild-pakethanterare, installerades faktiskt en nyare version av Exim, som redan var sårbar.
I den här speciella situationen hjälpte även uppdatering via custombuild.
Glöm inte att göra säkerhetskopior före sådana experiment, och se även till att alla Exim-processer före/efter uppdateringen är av den gamla versionen och inte "fastnat" i minnet.
Källa: will.com