Wenzake wanaotumia matoleo ya Exim 4.87...4.91 kwenye seva zao za barua - sasisha haraka hadi toleo la 4.92, wakiwa wamesimamisha Exim yenyewe hapo awali ili kuepuka udukuzi kupitia CVE-2019-10149.
Seva milioni kadhaa duniani kote ziko katika hatari, athari imekadiriwa kuwa muhimu (alama ya msingi ya CVSS 3.0 = 9.8/10). Wavamizi wanaweza kutekeleza amri kiholela kwenye seva yako, mara nyingi kutoka kwa mizizi.
Tafadhali hakikisha kuwa unatumia toleo lisilobadilika (4.92) au ambalo tayari limenakiliwa.
Au weka kiraka iliyopo, tazama uzi
Sasisha kwa centos 6: sentimita.
UPD: Ubuntu imeathirika 18.04 na 18.10, sasisho limetolewa kwa ajili yao. Matoleo ya 16.04 na 19.04 hayaathiriwi isipokuwa chaguo maalum zilisakinishwa. Maelezo zaidi
Sasa shida iliyoelezewa hapo inanyonywa kikamilifu (na bot, labda), niligundua maambukizo kwenye seva zingine (zinazoendesha 4.91).
Usomaji zaidi unafaa tu kwa wale ambao tayari "wameipata" - unahitaji kusafirisha kila kitu kwa VPS safi na programu mpya, au utafute suluhisho. Je, tujaribu? Andika ikiwa mtu yeyote anaweza kushinda programu hasidi.
Iwapo wewe, ukiwa mtumiaji wa Exim na unasoma hili, bado hujasasisha (hujahakikisha kuwa toleo la 4.92 au toleo lililonaswa linapatikana), tafadhali simamisha na uendeshe kusasisha.
Kwa wale ambao tayari wamefika, tuendelee...
UPS:
Kunaweza kuwa na aina kubwa ya programu hasidi. Kwa kuzindua dawa kwa jambo lisilofaa na kufuta foleni, mtumiaji hatapona na huenda hajui ni nini anahitaji kutibiwa.
Maambukizi yanaonekana kama hii: [kthrotlds] hupakia kichakataji; kwenye VDS dhaifu ni 100%, kwenye seva ni dhaifu lakini inaonekana.
Baada ya kuambukizwa, programu hasidi hufuta maingizo ya cron, ikijiandikisha yenyewe huko ili kuendesha kila dakika 4, huku ikifanya faili ya crontab isibadilike. Crontab -e haiwezi kuhifadhi mabadiliko, inatoa hitilafu.
Haibadiliki inaweza kuondolewa, kwa mfano, kama hii, na kisha kufuta safu ya amri (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Ifuatayo, kwenye hariri ya crontab (vim), futa mstari na uhifadhi:dd
:wq
Walakini, baadhi ya michakato inayotumika inabatilisha tena, ninaifikiria.
Wakati huo huo, kuna rundo la wgets hai (au curls) zinazoning'inia kwenye anwani kutoka kwa hati ya kisakinishi (tazama hapa chini), ninaziangusha kama hii kwa sasa, lakini zinaanza tena:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Nimepata hati ya kisakinishi cha Trojan hapa (centos): /usr/local/bin/nptd... Siichapishi ili kuiepuka, lakini ikiwa mtu yeyote ameambukizwa na anaelewa maandishi ya shell, tafadhali isome kwa uangalifu zaidi.
Nitaongeza habari inaposasishwa.
UPD 1: Kufuta faili (na chattr -i ya awali) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root haikusaidia, wala kusimamisha huduma - ilinibidi crontab kabisa kwa sasa ibomoe (badilisha jina la faili ya bin).
UPD 2: Kisakinishi cha Trojan wakati mwingine pia kilikuwa kimelazwa katika maeneo mengine, kutafuta kwa ukubwa kusaidiwa:
find / -size 19825c
UPD 3/XNUMX/XNUMX: Attention! Mbali na kulemaza selinux, Trojan pia inaongeza yake mwenyewe Kitufe cha SSH katika ${sshdir}/authorized_keys! Na huwasha sehemu zifuatazo katika /etc/ssh/sshd_config, ikiwa hazijawekwa tayari YES:
RuhusuRootLogin ndiyo
Uthibitishaji wa RSAA ndio
Uthibitishaji wa Pubkey ndio
echo UsePAM ndiyo
PasswordAuthentication ndiyo
UPD 4: Ili kufanya muhtasari kwa sasa: zima Exim, cron (na mizizi), ondoa kwa haraka kitufe cha Trojan kutoka ssh na uhariri usanidi wa sshd, anzisha tena sshd! Na bado haijawa wazi kuwa hii itasaidia, lakini bila hiyo kuna shida.
Nilihamisha habari muhimu kutoka kwa maoni kuhusu viraka/sasisho hadi mwanzo wa noti, ili wasomaji waanze nayo.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Mtu yeyote anayefanya (au kupata) suluhisho thabiti, tafadhali andika, utawasaidia wengi.
UPD 7/XNUMX/XNUMX:
Ikiwa haujasema tayari kwamba virusi hufufuliwa shukrani kwa barua isiyotumwa katika Exim, unapojaribu kutuma barua tena, imerejeshwa, angalia ndani /var/spool/exim4
Unaweza kufuta foleni nzima ya Exim kama hii:
epick -i | xargs exim -Bw
Kuangalia idadi ya maingizo kwenye foleni:
exim -bpc
UPD 8: Tena
UPD 9: Inaonekana kazi, Asante
Jambo kuu sio kusahau kuwa seva ilikuwa tayari imeathiriwa na washambuliaji wangeweza kupanda vitu vichafu zaidi vya atypical (havijaorodheshwa kwenye dropper).
Kwa hivyo, ni bora kuhamia seva iliyosanikishwa kabisa (vds), au angalau endelea kufuatilia mada - ikiwa kuna kitu kipya, andika kwenye maoni hapa, kwa sababu. ni wazi sio kila mtu atahamia usakinishaji mpya ...
UPD 10: Asante tena
UPD 11: Kutoka
(baada ya kutumia njia moja au nyingine ya kupambana na programu hasidi)
Hakika unahitaji kuwasha upya - programu hasidi inakaa mahali pengine katika michakato wazi na, ipasavyo, kwenye kumbukumbu, na hujiandikisha mpya ili kuorodhesha kila sekunde 30.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: kujihakikishia kuwa watu werevu hawaepukiki - jambo moja zaidi
Hata kama haifanyi kazi kutoka kwa mizizi, udukuzi hutokea... Nina debian jessie UPD: nyoosha kwenye OrangePi yangu, Exim inaendeshwa na Debian-exim na bado udukuzi ulifanyika, taji zilizopotea, nk.
UPD 15: unapohamia kwenye seva safi kutoka kwa iliyoathirika, usisahau kuhusu usafi,
Wakati wa kuhamisha data, usizingatie sio tu faili zinazoweza kutekelezwa au za usanidi, lakini pia kwa chochote ambacho kinaweza kuwa na amri hasidi (kwa mfano, katika MySQL hii inaweza kuwa CREATE TRIGGER au CREATE EVENT). Pia, usisahau kuhusu .html, .js, .php, .py na faili zingine za umma (haswa faili hizi, kama data zingine, zinapaswa kurejeshwa kutoka kwa hifadhi ya ndani au nyingine inayoaminika).
UPD 16/XNUMX/XNUMX:
Hivyo kila mtu baada ya sasisho unapaswa kuhakikisha kwamba unatumia toleo jipya!
exim --version
Tulipanga hali yao maalum pamoja.
Seva ilitumia DirectAdmin na kifurushi chake cha zamani cha da_exim (toleo la zamani, bila kuathiriwa).
Wakati huo huo, kwa msaada wa meneja wa kifurushi cha DirectAdmin, kwa kweli, toleo jipya zaidi la Exim lilisakinishwa, ambalo tayari lilikuwa hatarini.
Katika hali hii, kusasisha kupitia uundaji maalum pia kulisaidia.
Usisahau kufanya chelezo kabla ya majaribio kama haya, na pia hakikisha kuwa kabla/baada ya kusasisha michakato yote ya Exim ni ya toleo la zamani.
Chanzo: mapenzi.com