Säkerhetsforskare från Cybereason e-postserveradministratörer om att identifiera en massiv automatiserad attack som utnyttjar (CVE-2019-10149) i Exim, upptäcktes förra veckan. Under attacken uppnår angripare exekvering av sin kod med roträttigheter och installerar skadlig programvara på servern för att bryta kryptovalutor.
Enligt juni Exims andel är 57.05% (för ett år sedan 56.56%), Postfix används på 34.52% (33.79%) av e-postservrarna, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Förbi Shodan-tjänsten är fortfarande potentiellt sårbar för mer än 3.6 miljoner e-postservrar på det globala nätverket som inte har uppdaterats till den senaste aktuella versionen av Exim 4.92. Cirka 2 miljoner potentiellt sårbara servrar finns i USA, 192 tusen i Ryssland. Förbi RiskIQ-företaget har redan gått över till version 4.92 av 70% av servrarna med Exim.
Administratörer uppmanas att omedelbart installera uppdateringar som förbereddes av distributionspaket förra veckan (, , , , , ). Om systemet har en sårbar version av Exim (från 4.87 till och med 4.91), måste du se till att systemet inte redan är komprometterat genom att kontrollera crontab för misstänkta samtal och se till att det inte finns några ytterligare nycklar i /root/. ssh-katalogen. En attack kan också indikeras av närvaron i brandväggsloggen av aktivitet från värdarna an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io och an7kmd2wp4xo7hpr.onion.sh, som används för att ladda ner skadlig programvara.
Första försöken att attackera Exim-servrar den 9 juni. Av attacken den 13 juni karaktär. Efter att ha utnyttjat sårbarheten genom tor2web-gateways, laddas ett skript ned från Tor hidden-tjänsten (an7kmd2wp4xo7hpr) som kontrollerar förekomsten av OpenSSH (om inte ), ändrar dess inställningar ( root-inloggning och nyckelautentisering) och ställer in användaren på root , som ger privilegierad åtkomst till systemet via SSH.
Efter att ha ställt in bakdörren installeras en portskanner på systemet för att identifiera andra sårbara servrar. Systemet söker även efter befintliga gruvsystem, som raderas om de identifieras. I det sista skedet laddas din egen miner ner och registreras i crontab. Gruvarbetaren laddas ner under sken av en ico-fil (i själva verket är det ett zip-arkiv med lösenordet "no-password"), som innehåller en körbar fil i ELF-format för Linux med Glibc 2.7+.
Källa: opennet.ru