వారి మెయిల్ సర్వర్లలో Exim వెర్షన్లు 4.87...4.91ని ఉపయోగించే సహోద్యోగులు - CVE-4.92-2019 ద్వారా హ్యాకింగ్ను నివారించడానికి గతంలో ఎగ్జిమ్ను ఆపివేసిన వెంటనే వెర్షన్ 10149కి అప్డేట్ చేయండి.
ప్రపంచవ్యాప్తంగా అనేక మిలియన్ సర్వర్లు హాని కలిగించే అవకాశం ఉంది, దుర్బలత్వం క్లిష్టమైనదిగా రేట్ చేయబడింది (CVSS 3.0 బేస్ స్కోర్ = 9.8/10). దాడి చేసేవారు మీ సర్వర్లో ఏకపక్ష ఆదేశాలను అమలు చేయగలరు, అనేక సందర్భాల్లో రూట్ నుండి.
దయచేసి మీరు ఫిక్స్డ్ వెర్షన్ (4.92)ని ఉపయోగిస్తున్నారని లేదా ఇప్పటికే ప్యాచ్ చేయబడిన దానిని ఉపయోగిస్తున్నారని నిర్ధారించుకోండి.
లేదా ఇప్పటికే ఉన్న దానిని ప్యాచ్ చేయండి, థ్రెడ్ చూడండి .
కోసం అప్డేట్ చేయండి సెంట్రస్ 6: సెం.మీ. - centos 7 కోసం ఇది ఇంకా ఎపెల్ నుండి నేరుగా రాకపోతే కూడా పని చేస్తుంది.
UPD: ఉబుంటు ప్రభావితమైంది 18.04 మరియు 18.10, వారి కోసం ఒక నవీకరణ విడుదల చేయబడింది. 16.04 మరియు 19.04 సంస్కరణల్లో అనుకూల ఎంపికలు ఇన్స్టాల్ చేయబడితే తప్ప ప్రభావితం కావు. మరిన్ని వివరాలు .
ఇప్పుడు అక్కడ వివరించిన సమస్య చురుకుగా ఉపయోగించబడుతోంది (బోట్ ద్వారా, బహుశా), నేను కొన్ని సర్వర్లలో ఇన్ఫెక్షన్ని గమనించాను (4.91లో నడుస్తోంది).
తదుపరి పఠనం ఇప్పటికే "అది పొందిన" వారికి మాత్రమే సంబంధితంగా ఉంటుంది - మీరు తాజా సాఫ్ట్వేర్తో అన్నింటినీ శుభ్రమైన VPSకి రవాణా చేయాలి లేదా పరిష్కారం కోసం వెతకాలి. మనం ప్రయత్నించాలా? ఎవరైనా ఈ మాల్వేర్ను అధిగమించగలరా అని వ్రాయండి.
మీరు ఎగ్జిమ్ వినియోగదారుగా ఉండి, దీన్ని చదువుతూ ఉంటే, ఇప్పటికీ అప్డేట్ చేయకపోతే (4.92 లేదా ప్యాచ్డ్ వెర్షన్ అందుబాటులో ఉందని నిర్ధారించుకోలేదు), దయచేసి ఆపి, అప్డేట్ చేయడానికి పరుగెత్తండి.
ఇప్పటికే అక్కడికి చేరుకున్న వారి కోసం, కొనసాగిద్దాం...
యుపిడి: మరియు సరైన సలహా ఇస్తుంది:
అనేక రకాల మాల్వేర్లు ఉండవచ్చు. తప్పు విషయానికి ఔషధాన్ని ప్రారంభించడం మరియు క్యూను క్లియర్ చేయడం ద్వారా, వినియోగదారు నయం చేయబడడు మరియు అతనికి చికిత్స చేయవలసిన అవసరం ఏమిటో తెలియకపోవచ్చు.
ఇన్ఫెక్షన్ ఇలా గమనించవచ్చు: [kthrotlds] ప్రాసెసర్ను లోడ్ చేస్తుంది; బలహీనమైన VDSలో ఇది 100%, సర్వర్లలో ఇది బలహీనంగా ఉంటుంది కానీ గుర్తించదగినది.
ఇన్ఫెక్షన్ తర్వాత, మాల్వేర్ క్రాన్ ఎంట్రీలను తొలగిస్తుంది, ప్రతి 4 నిమిషాలకు రన్ అయ్యేలా అక్కడ మాత్రమే నమోదు చేసుకుంటుంది, అయితే క్రాంటాబ్ ఫైల్ను మార్చలేనిదిగా చేస్తుంది. క్రోంటాబ్ -ఇ మార్పులను సేవ్ చేయలేము, దోషాన్ని ఇస్తుంది.
మార్పులేనిది తీసివేయబడవచ్చు, ఉదాహరణకు, ఇలా, ఆపై కమాండ్ లైన్ (1.5kb) ను తొలగించండి:
chattr -i /var/spool/cron/root
crontab -e
తర్వాత, crontab ఎడిటర్ (vim)లో, పంక్తిని తొలగించి, సేవ్ చేయండి:dd
:wq
అయితే, కొన్ని సక్రియ ప్రక్రియలు మళ్లీ ఓవర్రైట్ అవుతున్నాయి, నేను దాన్ని గుర్తించాను.
అదే సమయంలో, ఇన్స్టాలర్ స్క్రిప్ట్ (క్రింద చూడండి) నుండి చిరునామాలపై యాక్టివ్ wget (లేదా కర్ల్స్) వేలాడుతూ ఉన్నాయి, నేను వాటిని ప్రస్తుతానికి ఇలా పడవేస్తున్నాను, కానీ అవి మళ్లీ ప్రారంభమవుతాయి:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
నేను ఇక్కడ ట్రోజన్ ఇన్స్టాలర్ స్క్రిప్ట్ని కనుగొన్నాను (centos): /usr/local/bin/nptd... దాన్ని నివారించడానికి నేను దీన్ని పోస్ట్ చేయడం లేదు, కానీ ఎవరైనా సోకిన మరియు షెల్ స్క్రిప్ట్లను అర్థం చేసుకున్నట్లయితే, దయచేసి దానిని మరింత జాగ్రత్తగా అధ్యయనం చేయండి.
సమాచారం నవీకరించబడినందున నేను జోడిస్తాను.
UPD 1: ఫైల్లను తొలగించడం (ప్రిలిమినరీ chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root సహాయం చేయలేదు లేదా సేవను ఆపలేదు - నేను చేయాల్సి వచ్చింది crontab పూర్తిగా ఇప్పుడు దానిని చింపివేయండి (బిన్ ఫైల్ పేరు మార్చండి).
UPD 2: ట్రోజన్ ఇన్స్టాలర్ కొన్నిసార్లు ఇతర ప్రదేశాలలో కూడా పడి ఉంటుంది, పరిమాణం ఆధారంగా శోధించడం సహాయపడింది:
కనుగొనండి / -పరిమాణం 19825c
UPD 3/XNUMX/XNUMX: హెచ్చరిక సెలినక్స్ని నిలిపివేయడంతో పాటు, ట్రోజన్ దాని స్వంతదానిని కూడా జోడిస్తుంది SSH కీ ${sshdir}/authorized_keysలో! మరియు కింది ఫీల్డ్లను /etc/ssh/sshd_configలో సక్రియం చేస్తుంది, అవి ఇప్పటికే అవును అని సెట్ చేయబడి ఉండకపోతే:
పర్మిట్ రూట్ లాగిన్ అవును
RSAA ప్రమాణీకరణ అవును
పబ్కీఅథెంటికేషన్ అవును
echo UsePAM అవును
పాస్వర్డ్ ప్రమాణీకరణ అవును
UPD 4: ప్రస్తుతానికి సంగ్రహంగా చెప్పాలంటే: Exim, క్రాన్ (మూలాలతో) నిలిపివేయండి, ssh నుండి ట్రోజన్ కీని అత్యవసరంగా తీసివేసి, sshd configని సవరించండి, sshdని పునఃప్రారంభించండి! మరియు ఇది సహాయపడుతుందని ఇంకా స్పష్టంగా తెలియలేదు, కానీ అది లేకుండా సమస్య ఉంది.
నేను పాచెస్/అప్డేట్ల గురించిన వ్యాఖ్యల నుండి ముఖ్యమైన సమాచారాన్ని నోట్ ప్రారంభానికి తరలించాను, తద్వారా పాఠకులు దానితో ప్రారంభమవుతుంది.
UPD 5/XNUMX/XNUMX: మాల్వేర్ WordPressలో పాస్వర్డ్లను మార్చిందని.
UPD 6/XNUMX/XNUMX: , పరీక్షిద్దాం! రీబూట్ లేదా షట్డౌన్ తర్వాత, ఔషధం అదృశ్యమైనట్లు అనిపిస్తుంది, కానీ ప్రస్తుతానికి కనీసం అంతే.
ఎవరైనా స్థిరమైన పరిష్కారాన్ని (లేదా కనుగొన్న) వ్రాస్తారు, మీరు చాలా మందికి సహాయం చేస్తారు.
UPD 7/XNUMX/XNUMX: అతను ఇలా రాశాడు:
ఎగ్జిమ్లో పంపని లేఖ కారణంగా వైరస్ పునరుత్థానం చేయబడిందని మీరు ఇప్పటికే చెప్పకుంటే, మీరు లేఖను మళ్లీ పంపడానికి ప్రయత్నించినప్పుడు, అది పునరుద్ధరించబడుతుంది, /var/spool/exim4లో చూడండి
మీరు మొత్తం ఎగ్జిమ్ క్యూను ఇలా క్లియర్ చేయవచ్చు:
exipick -i | xargs exim -Mrm
క్యూలో ఉన్న ఎంట్రీల సంఖ్యను తనిఖీ చేస్తోంది:
exim -bpc
UPD 8: మళ్ళీ : FirstVDS ట్రీట్మెంట్ స్క్రిప్ట్ యొక్క వారి వెర్షన్ను అందించింది, దానిని పరీక్షించుకుందాం!
UPD 9: ఇది కనిపిస్తుంది работает, ధన్యవాదాలు స్క్రిప్ట్ కోసం!
ప్రధాన విషయం ఏమిటంటే, సర్వర్ ఇప్పటికే రాజీపడిందని మరియు దాడి చేసేవారు మరికొన్ని విలక్షణమైన దుష్ట వస్తువులను (డ్రాపర్లో జాబితా చేయబడలేదు) నాటగలిగారని మర్చిపోకూడదు.
అందువల్ల, పూర్తిగా ఇన్స్టాల్ చేయబడిన సర్వర్ (vds)కి వెళ్లడం మంచిది, లేదా కనీసం టాపిక్ను పర్యవేక్షించడం కొనసాగించడం మంచిది - ఏదైనా కొత్తది ఉంటే, ఇక్కడ వ్యాఖ్యలలో వ్రాయండి, ఎందుకంటే ప్రతి ఒక్కరూ తాజా ఇన్స్టాలేషన్కు వెళ్లరు...
UPD 10: మళ్ళీ ధన్యవాదాలు : ఇది సర్వర్లు మాత్రమే సోకినట్లు గుర్తు చేస్తుంది, కానీ కూడా రాస్ప్బెర్రీ పై, మరియు అన్ని రకాల వర్చువల్ మిషన్లు... కాబట్టి సర్వర్లను సేవ్ చేసిన తర్వాత, మీ వీడియో కన్సోల్లు, రోబోట్లు మొదలైనవాటిని సేవ్ చేయడం మర్చిపోవద్దు.
UPD 11: నుండి మాన్యువల్ హీలర్లకు ముఖ్యమైన గమనిక:
(ఈ మాల్వేర్ను ఎదుర్కోవడానికి ఒకటి లేదా మరొక పద్ధతిని ఉపయోగించిన తర్వాత)
మీరు ఖచ్చితంగా రీబూట్ చేయాలి - మాల్వేర్ ఓపెన్ ప్రాసెస్లలో ఎక్కడో కూర్చుని, తదనుగుణంగా, మెమరీలో ఉంటుంది మరియు ప్రతి 30 సెకన్లకు క్రాన్ చేయడానికి కొత్తది వ్రాస్తుంది.
UPD 12/XNUMX/XNUMX: Exim దాని క్యూలో మరొక(?) మాల్వేర్ని కలిగి ఉంది మరియు చికిత్స ప్రారంభించే ముందు మీ నిర్దిష్ట సమస్యను అధ్యయనం చేయమని మీకు సలహా ఇస్తుంది.
UPD 13/XNUMX/XNUMX: బదులుగా, క్లీన్ సిస్టమ్కు తరలించండి మరియు ఫైళ్లను చాలా జాగ్రత్తగా బదిలీ చేయండి, ఎందుకంటే మాల్వేర్ ఇప్పటికే పబ్లిక్గా అందుబాటులో ఉంది మరియు ఇతర, తక్కువ స్పష్టమైన మరియు మరింత ప్రమాదకరమైన మార్గాల్లో ఉపయోగించవచ్చు.
UPD 14: తెలివైన వ్యక్తులు రూట్ నుండి పారిపోరని మనకు మనం భరోసా ఇవ్వడం - మరో విషయం :
ఇది రూట్ నుండి పని చేయకపోయినా, హ్యాకింగ్ జరుగుతుంది... నా దగ్గర డెబియన్ జెస్సీ UPD ఉంది: నా ఆరెంజ్పిలో స్ట్రెచ్, ఎగ్జిమ్ డెబియన్-ఎగ్జిమ్ నుండి నడుస్తోంది మరియు ఇప్పటికీ హ్యాకింగ్ జరిగింది, కిరీటాలను కోల్పోయింది మొదలైనవి.
UPD 15: రాజీపడిన దాని నుండి శుభ్రమైన సర్వర్కు వెళ్లినప్పుడు, పరిశుభ్రత గురించి మరచిపోకండి, :
డేటాను బదిలీ చేస్తున్నప్పుడు, ఎక్జిక్యూటబుల్ లేదా కాన్ఫిగరేషన్ ఫైల్లకు మాత్రమే కాకుండా, హానికరమైన ఆదేశాలను కలిగి ఉండే దేనికైనా శ్రద్ధ వహించండి (ఉదాహరణకు, MySQLలో ఇది ట్రిగ్గర్ను సృష్టించడం లేదా ఈవెంట్ను సృష్టించడం కావచ్చు). అలాగే, .html, .js, .php, .py మరియు ఇతర పబ్లిక్ ఫైల్ల గురించి మర్చిపోవద్దు (ఈ ఫైల్లు, ఇతర డేటా వలె, స్థానిక లేదా ఇతర విశ్వసనీయ నిల్వ నుండి పునరుద్ధరించబడాలి).
UPD 16/XNUMX/XNUMX: и : సిస్టమ్లో పోర్ట్లలో ఎగ్జిమ్ యొక్క ఒక వెర్షన్ ఇన్స్టాల్ చేయబడింది, కానీ వాస్తవానికి ఇది మరొకటి నడుస్తోంది.
కాబట్టి అందరూ నవీకరణ తర్వాత మీరు నిర్ధారించుకోవాలి మీరు కొత్త వెర్షన్ని ఉపయోగిస్తున్నారని!
exim --versionమేము వారి నిర్దిష్ట పరిస్థితిని కలిసి క్రమబద్ధీకరించాము.
సర్వర్ DirectAdmin మరియు దాని పాత da_exim ప్యాకేజీని ఉపయోగించింది (పాత వెర్షన్, హాని లేకుండా).
అదే సమయంలో, DirectAdmin యొక్క కస్టమ్బిల్డ్ ప్యాకేజీ మేనేజర్ సహాయంతో, వాస్తవానికి, Exim యొక్క కొత్త వెర్షన్ ఇన్స్టాల్ చేయబడింది, ఇది ఇప్పటికే హాని కలిగించింది.
ఈ ప్రత్యేక పరిస్థితిలో, custombuild ద్వారా నవీకరించడం కూడా సహాయపడింది.
అటువంటి ప్రయోగాలకు ముందు బ్యాకప్లు చేయడం మర్చిపోవద్దు మరియు అప్డేట్కు ముందు/తర్వాత అన్ని ఎగ్జిమ్ ప్రాసెస్లు పాత వెర్షన్లో ఉన్నాయని నిర్ధారించుకోండి. మరియు మెమరీలో "కష్టం" కాదు.
మూలం: www.habr.com