எக்சிம் பதிப்புகள் 4.87...4.91ஐ தங்கள் அஞ்சல் சேவையகங்களில் பயன்படுத்தும் சக ஊழியர்கள் - CVE-4.92-2019 மூலம் ஹேக்கிங் செய்வதைத் தவிர்க்க எக்சிமையே நிறுத்திவிட்டதால், அவசரமாக பதிப்பு 10149 க்கு புதுப்பிக்கவும்.
உலகெங்கிலும் உள்ள பல மில்லியன் சேவையகங்கள் பாதிக்கப்படக்கூடியவை, பாதிப்பு முக்கியமானதாக மதிப்பிடப்படுகிறது (CVSS 3.0 அடிப்படை மதிப்பெண் = 9.8/10). தாக்குபவர்கள் உங்கள் சர்வரில் தன்னிச்சையான கட்டளைகளை இயக்கலாம், பல சமயங்களில் ரூட்டிலிருந்து.
நீங்கள் நிலையான பதிப்பை (4.92) அல்லது ஏற்கனவே இணைக்கப்பட்ட ஒன்றைப் பயன்படுத்துகிறீர்கள் என்பதை உறுதிப்படுத்தவும்.
அல்லது ஏற்கனவே உள்ளதை ஒட்டவும், நூலைப் பார்க்கவும்
இதற்கான புதுப்பிப்பு சென்ஸோஸ் 6: செ.மீ.
UPD: உபுண்டு பாதிக்கப்பட்டுள்ளது 18.04 மற்றும் 18.10, அவர்களுக்கான புதுப்பிப்பு வெளியிடப்பட்டுள்ளது. 16.04 மற்றும் 19.04 பதிப்புகளில் தனிப்பயன் விருப்பங்கள் நிறுவப்பட்டாலன்றி அவை பாதிக்கப்படாது. கூடுதல் தகவல்கள்
இப்போது அங்கு விவரிக்கப்பட்டுள்ள சிக்கல் தீவிரமாகப் பயன்படுத்தப்படுகிறது (போட் மூலம், மறைமுகமாக), சில சேவையகங்களில் (4.91 இல் இயங்குகிறது) தொற்று இருப்பதைக் கண்டேன்.
மேலதிக வாசிப்பு ஏற்கனவே "அதைப் பெற்றவர்களுக்கு" மட்டுமே பொருத்தமானது - நீங்கள் எல்லாவற்றையும் புதிய மென்பொருளுடன் சுத்தமான VPS க்கு கொண்டு செல்ல வேண்டும் அல்லது ஒரு தீர்வைத் தேட வேண்டும். நாம் முயற்சி செய்வோமா? இந்த தீம்பொருளை யாரேனும் சமாளிக்க முடியுமா என எழுதவும்.
நீங்கள் எக்சிம் பயனராக இருந்தும், இதைப் படித்தும், இன்னும் புதுப்பிக்கவில்லை என்றால் (4.92 அல்லது பேட்ச் செய்யப்பட்ட பதிப்பு உள்ளது என்பதை உறுதிப்படுத்தவில்லை), தயவு செய்து நிறுத்தி புதுப்பிப்பதற்கு ஓடுங்கள்.
ஏற்கனவே வந்தவர்கள், தொடரலாம்...
யு பி எஸ்:
பல்வேறு வகையான தீம்பொருள்கள் இருக்கலாம். தவறான விஷயத்திற்கு மருந்தைத் தொடங்குவதன் மூலமும், வரிசையை அகற்றுவதன் மூலமும், பயனர் குணமடைய மாட்டார், மேலும் அவருக்கு என்ன சிகிச்சை அளிக்கப்பட வேண்டும் என்று தெரியாமல் இருக்கலாம்.
தொற்று இது போன்ற கவனிக்கத்தக்கது: [kthrotlds] செயலியை ஏற்றுகிறது; பலவீனமான VDS இல் இது 100%, சேவையகங்களில் இது பலவீனமானது ஆனால் கவனிக்கத்தக்கது.
நோய்த்தொற்றுக்குப் பிறகு, தீம்பொருள் கிரான் உள்ளீடுகளை நீக்குகிறது, க்ரான்டாப் கோப்பை மாற்ற முடியாததாக மாற்றும் அதே வேளையில், ஒவ்வொரு 4 நிமிடங்களுக்கும் இயங்கும். Crontab -e மாற்றங்களைச் சேமிக்க முடியாது, பிழையைக் கொடுக்கிறது.
மாறாததை அகற்றலாம், எடுத்துக்காட்டாக, இது போன்றது, பின்னர் கட்டளை வரியை நீக்கவும் (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
அடுத்து, crontab எடிட்டரில் (vim), வரியை நீக்கி சேமிக்கவும்:dd
:wq
இருப்பினும், செயலில் உள்ள சில செயல்முறைகள் மீண்டும் மேலெழுதப்படுகின்றன, நான் அதைக் கண்டுபிடிக்கிறேன்.
அதே நேரத்தில், நிறுவி ஸ்கிரிப்டில் இருந்து முகவரிகளில் செயலில் உள்ள wgets (அல்லது சுருட்டை) தொங்கும் (கீழே காண்க), நான் இப்போது அவற்றை இப்படித் தட்டுகிறேன், ஆனால் அவை மீண்டும் தொடங்குகின்றன:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
ட்ரோஜன் நிறுவி ஸ்கிரிப்டை நான் இங்கே கண்டேன் (centos): /usr/local/bin/nptd... அதைத் தவிர்க்க நான் அதை இடுகையிடவில்லை, ஆனால் யாரேனும் பாதிக்கப்பட்டிருந்தால் மற்றும் ஷெல் ஸ்கிரிப்ட்களைப் புரிந்து கொண்டால், அதை மிகவும் கவனமாகப் படிக்கவும்.
தகவல் புதுப்பிக்கப்படும்போது நான் சேர்ப்பேன்.
UPD 1: கோப்புகளை நீக்குவது (பூர்வாங்க chattr -i உடன்) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root உதவவில்லை, சேவையை நிறுத்தவும் இல்லை - நான் செய்ய வேண்டியிருந்தது crontab தற்போதைக்கு அதை முழுவதுமாக கிழிக்கவும் (பின் கோப்பை மறுபெயரிடவும்).
UPD 2: ட்ரோஜன் நிறுவி சில சமயங்களில் மற்ற இடங்களிலும் கிடக்கிறது, அளவு மூலம் தேடுவது உதவியது:
கண்டுபிடி / -அளவு 19825c
UPD 3/XNUMX/XNUMX: எச்சரிக்கை செலினக்ஸை முடக்குவதுடன், ட்ரோஜன் அதன் சொந்தத்தையும் சேர்க்கிறது SSH விசை ${sshdir}/authorized_keys இல்! மேலும், ஏற்கனவே ஆம் என அமைக்கப்படவில்லை என்றால், பின்வரும் புலங்களை /etc/ssh/sshd_config இல் செயல்படுத்துகிறது:
பெர்மிட் ரூட்லோகின் ஆம்
RSAA அங்கீகாரம் ஆம்
PubkeyAuthentication ஆம்
எதிரொலி UsePAM ஆம்
கடவுச்சொல் அங்கீகாரம் ஆம்
UPD 4: இப்போதைக்கு சுருக்கமாக: Exim, cron (வேர்களுடன்) முடக்கவும், ssh இலிருந்து ட்ரோஜன் விசையை அவசரமாக அகற்றி, sshd கட்டமைப்பைத் திருத்தவும், sshd ஐ மறுதொடக்கம் செய்யவும்! இது உதவும் என்பது இன்னும் தெளிவாகத் தெரியவில்லை, ஆனால் அது இல்லாமல் ஒரு சிக்கல் உள்ளது.
இணைப்புகள்/புதுப்பிப்புகள் பற்றிய கருத்துகளில் இருந்து முக்கியமான தகவலை குறிப்பின் தொடக்கத்திற்கு நகர்த்தியுள்ளேன், இதனால் வாசகர்கள் அதைத் தொடங்குவார்கள்.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
ஒரு நிலையான தீர்வை உருவாக்கும் (அல்லது கண்டறிந்த) எவரும், தயவுசெய்து எழுதுங்கள், நீங்கள் பலருக்கு உதவுவீர்கள்.
UPD 7/XNUMX/XNUMX:
எக்சிமில் அனுப்பப்படாத கடிதத்தின் மூலம் வைரஸ் உயிர்த்தெழுப்பப்பட்டது என்று நீங்கள் ஏற்கனவே கூறவில்லை என்றால், நீங்கள் மீண்டும் கடிதத்தை அனுப்ப முயற்சிக்கும்போது, அது மீட்டமைக்கப்பட்டது, /var/spool/exim4 இல் பார்க்கவும்
நீங்கள் முழு எக்ஸிம் வரிசையையும் இப்படி அழிக்கலாம்:
exipick -i | xargs exim -Mrm
வரிசையில் உள்ளீடுகளின் எண்ணிக்கையைச் சரிபார்க்கிறது:
exim -bpc
UPD 8: மீண்டும்
UPD 9: இது போல் தெரிகிறது работает, நன்றி
முக்கிய விஷயம் என்னவென்றால், சேவையகம் ஏற்கனவே சமரசம் செய்யப்பட்டுள்ளது மற்றும் தாக்குபவர்கள் இன்னும் சில வித்தியாசமான மோசமான விஷயங்களை (துளிசொட்டியில் பட்டியலிடப்படவில்லை) விதைக்க முடிந்தது என்பதை மறந்துவிடக் கூடாது.
எனவே, முழுமையாக நிறுவப்பட்ட சேவையகத்திற்கு (விடிஎஸ்) நகர்த்துவது நல்லது, அல்லது குறைந்தபட்சம் தலைப்பைக் கண்காணிப்பது நல்லது - புதிதாக ஏதேனும் இருந்தால், இங்கே கருத்துகளில் எழுதுங்கள், ஏனெனில் வெளிப்படையாக எல்லோரும் புதிய நிறுவலுக்கு செல்ல மாட்டார்கள்...
UPD 10: மீண்டும் நன்றி
UPD 11: இருந்து
(இந்த தீம்பொருளை எதிர்த்துப் போராடுவதற்கு ஒன்று அல்லது மற்றொரு முறையைப் பயன்படுத்திய பிறகு)
நீங்கள் நிச்சயமாக மறுதொடக்கம் செய்ய வேண்டும் - தீம்பொருள் எங்காவது திறந்த செயல்முறைகளில் அமர்ந்து, அதற்கேற்ப, நினைவகத்தில் உள்ளது, மேலும் ஒவ்வொரு 30 வினாடிகளுக்கும் ஒரு புதிய ஒன்றை எழுதுகிறது.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: புத்திசாலிகள் வேரிலிருந்து ஓடமாட்டார்கள் என்று நம்மை நாமே உறுதிப்படுத்திக் கொள்வது - இன்னொரு விஷயம்
ரூட்டிலிருந்து வேலை செய்யாவிட்டாலும், ஹேக்கிங் ஏற்படுகிறது... என்னிடம் டெபியன் ஜெஸ்ஸி UPD உள்ளது: எனது OrangePi இல் நீட்டிக்கப்பட்டுள்ளது, Exim டெபியன்-எக்ஸிமில் இருந்து இயங்குகிறது, இன்னும் ஹேக்கிங் நடந்தது, கிரீடங்களை இழந்தது போன்றவை.
UPD 15: சமரசம் செய்யப்பட்ட சேவையகத்திலிருந்து சுத்தமான சேவையகத்திற்குச் செல்லும்போது, சுகாதாரத்தைப் பற்றி மறந்துவிடாதீர்கள்,
தரவை மாற்றும் போது, இயங்கக்கூடிய அல்லது உள்ளமைவு கோப்புகளுக்கு மட்டும் கவனம் செலுத்துங்கள், ஆனால் தீங்கிழைக்கும் கட்டளைகளைக் கொண்டிருக்கும் எதற்கும் கவனம் செலுத்துங்கள் (உதாரணமாக, MySQL இல் இது CREATE TRIGGER அல்லது CREATE EVENT ஆக இருக்கலாம்). மேலும், .html, .js, .php, .py மற்றும் பிற பொது கோப்புகளைப் பற்றி மறந்துவிடாதீர்கள் (இந்தக் கோப்புகள், மற்ற தரவுகளைப் போலவே, உள்ளூர் அல்லது பிற நம்பகமான சேமிப்பகத்திலிருந்து மீட்டமைக்கப்பட வேண்டும்).
UPD 16/XNUMX/XNUMX:
எனவே அனைவரும் புதுப்பித்த பிறகு நீங்கள் உறுதி செய்ய வேண்டும் நீங்கள் புதிய பதிப்பைப் பயன்படுத்துகிறீர்கள் என்று!
exim --version
அவர்களின் குறிப்பிட்ட சூழ்நிலையை நாங்கள் ஒன்றாக வரிசைப்படுத்தினோம்.
சர்வர் DirectAdmin மற்றும் அதன் பழைய da_exim தொகுப்பைப் பயன்படுத்தியது (பழைய பதிப்பு, பாதிப்பு இல்லாமல்).
அதே நேரத்தில், DirectAdmin இன் custombuild தொகுப்பு மேலாளரின் உதவியுடன், உண்மையில், Exim இன் புதிய பதிப்பு நிறுவப்பட்டது, இது ஏற்கனவே பாதிக்கப்படக்கூடியதாக இருந்தது.
இந்த குறிப்பிட்ட சூழ்நிலையில், custombuild வழியாக மேம்படுத்துவதும் உதவியது.
அத்தகைய சோதனைகளுக்கு முன் காப்புப்பிரதிகளை உருவாக்க மறக்காதீர்கள், மேலும் புதுப்பித்தலுக்கு முன்/பின் அனைத்து Exim செயல்முறைகளும் பழைய பதிப்பில் உள்ளதா என்பதை உறுதிப்படுத்தவும்.
ஆதாரம்: www.habr.com