எக்சிம் பதிப்புகள் 4.87...4.91ஐ தங்கள் அஞ்சல் சேவையகங்களில் பயன்படுத்தும் சக ஊழியர்கள் - CVE-4.92-2019 மூலம் ஹேக்கிங் செய்வதைத் தவிர்க்க எக்சிமையே நிறுத்திவிட்டதால், அவசரமாக பதிப்பு 10149 க்கு புதுப்பிக்கவும்.
உலகெங்கிலும் உள்ள பல மில்லியன் சேவையகங்கள் பாதிக்கப்படக்கூடியவை, பாதிப்பு முக்கியமானதாக மதிப்பிடப்படுகிறது (CVSS 3.0 அடிப்படை மதிப்பெண் = 9.8/10). தாக்குபவர்கள் உங்கள் சர்வரில் தன்னிச்சையான கட்டளைகளை இயக்கலாம், பல சமயங்களில் ரூட்டிலிருந்து.
நீங்கள் நிலையான பதிப்பை (4.92) அல்லது ஏற்கனவே இணைக்கப்பட்ட ஒன்றைப் பயன்படுத்துகிறீர்கள் என்பதை உறுதிப்படுத்தவும்.
அல்லது ஏற்கனவே உள்ளதை ஒட்டவும், நூலைப் பார்க்கவும் .
இதற்கான புதுப்பிப்பு centos 6: செ.மீ. - க்கு centos 7. அது epel-இடமிருந்து நேரடியாக இன்னும் வந்து சேராவிட்டாலும், இதுவும் செயல்படும்.
UPD: உபுண்டு பாதிக்கப்பட்டுள்ளது 18.04 மற்றும் 18.10, அவர்களுக்கான புதுப்பிப்பு வெளியிடப்பட்டுள்ளது. 16.04 மற்றும் 19.04 பதிப்புகளில் தனிப்பயன் விருப்பங்கள் நிறுவப்பட்டாலன்றி அவை பாதிக்கப்படாது. கூடுதல் தகவல்கள் .
இப்போது அங்கு விவரிக்கப்பட்டுள்ள சிக்கல் தீவிரமாகப் பயன்படுத்தப்படுகிறது (போட் மூலம், மறைமுகமாக), சில சேவையகங்களில் (4.91 இல் இயங்குகிறது) தொற்று இருப்பதைக் கண்டேன்.
மேலதிக வாசிப்பு ஏற்கனவே "அதைப் பெற்றவர்களுக்கு" மட்டுமே பொருத்தமானது - நீங்கள் எல்லாவற்றையும் புதிய மென்பொருளுடன் சுத்தமான VPS க்கு கொண்டு செல்ல வேண்டும் அல்லது ஒரு தீர்வைத் தேட வேண்டும். நாம் முயற்சி செய்வோமா? இந்த தீம்பொருளை யாரேனும் சமாளிக்க முடியுமா என எழுதவும்.
நீங்கள் எக்சிம் பயனராக இருந்தும், இதைப் படித்தும், இன்னும் புதுப்பிக்கவில்லை என்றால் (4.92 அல்லது பேட்ச் செய்யப்பட்ட பதிப்பு உள்ளது என்பதை உறுதிப்படுத்தவில்லை), தயவு செய்து நிறுத்தி புதுப்பிப்பதற்கு ஓடுங்கள்.
ஏற்கனவே வந்தவர்கள், தொடரலாம்...
யு பி எஸ்: மற்றும் சரியான ஆலோசனையை வழங்குகிறது:
பல்வேறு வகையான தீம்பொருள்கள் இருக்கலாம். தவறான விஷயத்திற்கு மருந்தைத் தொடங்குவதன் மூலமும், வரிசையை அகற்றுவதன் மூலமும், பயனர் குணமடைய மாட்டார், மேலும் அவருக்கு என்ன சிகிச்சை அளிக்கப்பட வேண்டும் என்று தெரியாமல் இருக்கலாம்.
தொற்று இது போன்ற கவனிக்கத்தக்கது: [kthrotlds] செயலியை ஏற்றுகிறது; பலவீனமான VDS இல் இது 100%, சேவையகங்களில் இது பலவீனமானது ஆனால் கவனிக்கத்தக்கது.
நோய்த்தொற்றுக்குப் பிறகு, தீம்பொருள் கிரான் உள்ளீடுகளை நீக்குகிறது, க்ரான்டாப் கோப்பை மாற்ற முடியாததாக மாற்றும் அதே வேளையில், ஒவ்வொரு 4 நிமிடங்களுக்கும் இயங்கும். Crontab -e மாற்றங்களைச் சேமிக்க முடியாது, பிழையைக் கொடுக்கிறது.
மாறாததை அகற்றலாம், எடுத்துக்காட்டாக, இது போன்றது, பின்னர் கட்டளை வரியை நீக்கவும் (1.5kb):
chattr -i /var/spool/cron/root
crontab -e அடுத்து, crontab எடிட்டரில் (vim), வரியை நீக்கி சேமிக்கவும்:dd
:wq
இருப்பினும், செயலில் உள்ள சில செயல்முறைகள் மீண்டும் மேலெழுதப்படுகின்றன, நான் அதைக் கண்டுபிடிக்கிறேன்.
அதே நேரத்தில், நிறுவி ஸ்கிரிப்டில் இருந்து முகவரிகளில் செயலில் உள்ள wgets (அல்லது சுருட்டை) தொங்கும் (கீழே காண்க), நான் இப்போது அவற்றை இப்படித் தட்டுகிறேன், ஆனால் அவை மீண்டும் தொடங்குகின்றன:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
ட்ரோஜன் இன்ஸ்டாலர் ஸ்கிரிப்ட்டை நான் இங்கே கண்டேன் (centos): /usr/local/bin/nptd… பாதுகாப்பு காரணங்களுக்காக நான் இதை இங்கு பகிரவில்லை, ஆனால் யாரேனும் இந்தத் தொற்றால் பாதிக்கப்பட்டிருந்து, ஷெல் ஸ்கிரிப்ட்களைப் புரிந்துகொண்டால், தயவுசெய்து இதை இன்னும் கவனமாகப் படியுங்கள்.
தகவல் புதுப்பிக்கப்படும்போது நான் சேர்ப்பேன்.
UPD 1: கோப்புகளை நீக்குவது (பூர்வாங்க chattr -i உடன்) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root உதவவில்லை, சேவையை நிறுத்தவும் இல்லை - நான் செய்ய வேண்டியிருந்தது crontab தற்போதைக்கு அதை முழுவதுமாக கிழிக்கவும் (பின் கோப்பை மறுபெயரிடவும்).
UPD 2: ட்ரோஜன் நிறுவி சில சமயங்களில் மற்ற இடங்களிலும் கிடக்கிறது, அளவு மூலம் தேடுவது உதவியது:
கண்டுபிடி / -அளவு 19825c
UPD 3/XNUMX/XNUMX: எச்சரிக்கை செலினக்ஸை முடக்குவதுடன், ட்ரோஜன் அதன் சொந்தத்தையும் சேர்க்கிறது SSH விசை ${sshdir}/authorized_keys இல்! மேலும், ஏற்கனவே ஆம் என அமைக்கப்படவில்லை என்றால், பின்வரும் புலங்களை /etc/ssh/sshd_config இல் செயல்படுத்துகிறது:
பெர்மிட் ரூட்லோகின் ஆம்
RSAA அங்கீகாரம் ஆம்
PubkeyAuthentication ஆம்
எதிரொலி UsePAM ஆம்
கடவுச்சொல் அங்கீகாரம் ஆம்
UPD 4: இப்போதைக்கு சுருக்கமாக: Exim, cron (வேர்களுடன்) முடக்கவும், ssh இலிருந்து ட்ரோஜன் விசையை அவசரமாக அகற்றி, sshd கட்டமைப்பைத் திருத்தவும், sshd ஐ மறுதொடக்கம் செய்யவும்! இது உதவும் என்பது இன்னும் தெளிவாகத் தெரியவில்லை, ஆனால் அது இல்லாமல் ஒரு சிக்கல் உள்ளது.
இணைப்புகள்/புதுப்பிப்புகள் பற்றிய கருத்துகளில் இருந்து முக்கியமான தகவலை குறிப்பின் தொடக்கத்திற்கு நகர்த்தியுள்ளேன், இதனால் வாசகர்கள் அதைத் தொடங்குவார்கள்.
UPD 5/XNUMX/XNUMX: அந்த மால்வேர் கடவுச்சொற்களை மாற்றியுள்ளது WordPress.
UPD 6/XNUMX/XNUMX: , சோதிப்போம்! மறுதொடக்கம் அல்லது பணிநிறுத்தத்திற்குப் பிறகு, மருந்து மறைந்துவிடும் போல் தெரிகிறது, ஆனால் இப்போதைக்கு குறைந்தபட்சம் அவ்வளவுதான்.
ஒரு நிலையான தீர்வை உருவாக்கும் (அல்லது கண்டறிந்த) எவரும், தயவுசெய்து எழுதுங்கள், நீங்கள் பலருக்கு உதவுவீர்கள்.
UPD 7/XNUMX/XNUMX: எழுதுகிறார்:
எக்சிமில் அனுப்பப்படாத கடிதத்தின் மூலம் வைரஸ் உயிர்த்தெழுப்பப்பட்டது என்று நீங்கள் ஏற்கனவே கூறவில்லை என்றால், நீங்கள் மீண்டும் கடிதத்தை அனுப்ப முயற்சிக்கும்போது, அது மீட்டமைக்கப்பட்டது, /var/spool/exim4 இல் பார்க்கவும்
நீங்கள் முழு எக்ஸிம் வரிசையையும் இப்படி அழிக்கலாம்:
exipick -i | xargs exim -Mrm
வரிசையில் உள்ளீடுகளின் எண்ணிக்கையைச் சரிபார்க்கிறது:
exim -bpc
UPD 8: மீண்டும் : FirstVDS அவர்களின் சிகிச்சை ஸ்கிரிப்ட்டின் பதிப்பை வழங்கியது, அதை சோதிப்போம்!
UPD 9: இது போல் தெரிகிறது работает, நன்றி திரைக்கதைக்காக!
முக்கிய விஷயம் என்னவென்றால், சேவையகம் ஏற்கனவே சமரசம் செய்யப்பட்டுள்ளது மற்றும் தாக்குபவர்கள் இன்னும் சில வித்தியாசமான மோசமான விஷயங்களை (துளிசொட்டியில் பட்டியலிடப்படவில்லை) விதைக்க முடிந்தது என்பதை மறந்துவிடக் கூடாது.
எனவே, முழுமையாக நிறுவப்பட்ட சேவையகத்திற்கு (விடிஎஸ்) நகர்த்துவது நல்லது, அல்லது குறைந்தபட்சம் தலைப்பைக் கண்காணிப்பது நல்லது - புதிதாக ஏதேனும் இருந்தால், இங்கே கருத்துகளில் எழுதுங்கள், ஏனெனில் வெளிப்படையாக எல்லோரும் புதிய நிறுவலுக்கு செல்ல மாட்டார்கள்...
UPD 10: மீண்டும் நன்றி : சேவையகங்கள் மட்டும் பாதிக்கப்பட்டுள்ளன என்பதை நினைவூட்டுகிறது, ஆனால் ராஸ்பெர்ரி பை, மற்றும் அனைத்து வகையான மெய்நிகர் இயந்திரங்கள்... எனவே சர்வர்களைச் சேமித்த பிறகு, உங்கள் வீடியோ கன்சோல்கள், ரோபோக்கள் போன்றவற்றைச் சேமிக்க மறக்காதீர்கள்.
UPD 11: இருந்து கையால் குணப்படுத்துபவர்களுக்கான முக்கிய குறிப்பு:
(இந்த தீம்பொருளை எதிர்த்துப் போராடுவதற்கு ஒன்று அல்லது மற்றொரு முறையைப் பயன்படுத்திய பிறகு)
நீங்கள் நிச்சயமாக மறுதொடக்கம் செய்ய வேண்டும் - தீம்பொருள் எங்காவது திறந்த செயல்முறைகளில் அமர்ந்து, அதற்கேற்ப, நினைவகத்தில் உள்ளது, மேலும் ஒவ்வொரு 30 வினாடிகளுக்கும் ஒரு புதிய ஒன்றை எழுதுகிறது.
UPD 12/XNUMX/XNUMX: Exim ஆனது அதன் வரிசையில் மற்றொரு(?) தீம்பொருளைக் கொண்டுள்ளது மற்றும் சிகிச்சையைத் தொடங்கும் முன் உங்கள் குறிப்பிட்ட பிரச்சனையை முதலில் ஆய்வு செய்யுமாறு அறிவுறுத்துகிறது.
UPD 13/XNUMX/XNUMX: மாறாக, ஒரு சுத்தமான அமைப்புக்குச் சென்று, கோப்புகளை மிகவும் கவனமாக மாற்றவும், ஏனெனில் தீம்பொருள் ஏற்கனவே பொதுவில் கிடைக்கிறது மற்றும் பிற, குறைவான வெளிப்படையான மற்றும் மிகவும் ஆபத்தான வழிகளில் பயன்படுத்தப்படலாம்.
UPD 14: புத்திசாலிகள் வேரிலிருந்து ஓடமாட்டார்கள் என்று நம்மை நாமே உறுதிப்படுத்திக் கொள்வது - இன்னொரு விஷயம் :
அது ரூட் அணுகலில் இயங்காவிட்டாலும், ஹேக் செய்யப்படுகிறது... அது என் ஆரஞ்சு பையில் இருக்கிறது. debian ஜெஸ்ஸி புதுப்பிப்பு: ஸ்ட்ரெட்ச், எக்ஸிம் இதிலிருந்து இயங்குகிறது Debian-exim செய்தும் ஒரு ஹேக் நடந்தது, கிரீடம் தொலைந்து போனது, மேலும் பல சிக்கல்கள் ஏற்பட்டன.
UPD 15: சமரசம் செய்யப்பட்ட சேவையகத்திலிருந்து சுத்தமான சேவையகத்திற்குச் செல்லும்போது, சுகாதாரத்தைப் பற்றி மறந்துவிடாதீர்கள், :
தரவை மாற்றும் போது, இயங்கக்கூடிய அல்லது உள்ளமைவு கோப்புகளுக்கு மட்டும் கவனம் செலுத்துங்கள், ஆனால் தீங்கிழைக்கும் கட்டளைகளைக் கொண்டிருக்கும் எதற்கும் கவனம் செலுத்துங்கள் (உதாரணமாக, MySQL இல் இது CREATE TRIGGER அல்லது CREATE EVENT ஆக இருக்கலாம்). மேலும், .html, .js, .php, .py மற்றும் பிற பொது கோப்புகளைப் பற்றி மறந்துவிடாதீர்கள் (இந்தக் கோப்புகள், மற்ற தரவுகளைப் போலவே, உள்ளூர் அல்லது பிற நம்பகமான சேமிப்பகத்திலிருந்து மீட்டமைக்கப்பட வேண்டும்).
UPD 16/XNUMX/XNUMX: и : கணினியில் எக்சிமின் ஒரு பதிப்பு போர்ட்களில் நிறுவப்பட்டது, ஆனால் உண்மையில் அது மற்றொன்றை இயக்கிக் கொண்டிருந்தது.
எனவே அனைவரும் புதுப்பித்த பிறகு நீங்கள் உறுதி செய்ய வேண்டும் நீங்கள் புதிய பதிப்பைப் பயன்படுத்துகிறீர்கள் என்று!
exim --versionஅவர்களின் குறிப்பிட்ட சூழ்நிலையை நாங்கள் ஒன்றாக வரிசைப்படுத்தினோம்.
சர்வர் DirectAdmin மற்றும் அதன் பழைய da_exim தொகுப்பைப் பயன்படுத்தியது (பழைய பதிப்பு, பாதிப்பு இல்லாமல்).
அதே நேரத்தில், DirectAdmin இன் custombuild தொகுப்பு மேலாளரின் உதவியுடன், உண்மையில், Exim இன் புதிய பதிப்பு நிறுவப்பட்டது, இது ஏற்கனவே பாதிக்கப்படக்கூடியதாக இருந்தது.
இந்த குறிப்பிட்ட சூழ்நிலையில், custombuild வழியாக மேம்படுத்துவதும் உதவியது.
அத்தகைய சோதனைகளுக்கு முன் காப்புப்பிரதிகளை உருவாக்க மறக்காதீர்கள், மேலும் புதுப்பித்தலுக்கு முன்/பின் அனைத்து Exim செயல்முறைகளும் பழைய பதிப்பில் உள்ளதா என்பதை உறுதிப்படுத்தவும். மற்றும் நினைவகத்தில் "சிக்கி" இல்லை.
ஆதாரம்: www.habr.com
