సైబరీజన్ నుండి భద్రతా పరిశోధకులు భారీ ఆటోమేటెడ్ దాడి దోపిడీని గుర్తించడం గురించి మెయిల్ సర్వర్ నిర్వాహకులు (CVE-2019-10149) Eximలో, గత వారం కనుగొనబడింది. దాడి సమయంలో, దాడి చేసేవారు తమ కోడ్ను రూట్ హక్కులతో అమలు చేస్తారు మరియు మైనింగ్ క్రిప్టోకరెన్సీల కోసం సర్వర్లో మాల్వేర్ను ఇన్స్టాల్ చేస్తారు.
జూన్ ప్రకారం Exim వాటా 57.05% (ఒక సంవత్సరం క్రితం 56.56%), పోస్ట్ఫిక్స్ 34.52% (33.79%) మెయిల్ సర్వర్లలో ఉపయోగించబడుతుంది, సెండ్మెయిల్ - 4.05% (4.59%), మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ - 0.57% (0.85%). ద్వారా షోడాన్ సేవ గ్లోబల్ నెట్వర్క్లోని 3.6 మిలియన్ల కంటే ఎక్కువ మెయిల్ సర్వర్లకు హాని కలిగించే అవకాశం ఉంది, అవి Exim 4.92 యొక్క తాజా ప్రస్తుత విడుదలకు నవీకరించబడలేదు. దాదాపు 2 మిలియన్ల సంభావ్య హాని కలిగించే సర్వర్లు యునైటెడ్ స్టేట్స్లో ఉన్నాయి, రష్యాలో 192 వేలు. ద్వారా RiskIQ కంపెనీ ఇప్పటికే ఎగ్జిమ్తో 4.92% సర్వర్లలో వెర్షన్ 70కి మారింది.
గత వారం పంపిణీ కిట్ల ద్వారా తయారు చేయబడిన నవీకరణలను అత్యవసరంగా ఇన్స్టాల్ చేయాలని నిర్వాహకులకు సూచించబడింది (, , , , , ) మీ సిస్టమ్ ఎగ్జిమ్ (4.87 నుండి 4.91 కలుపుకొని) హాని కలిగించే సంస్కరణను కలిగి ఉన్నట్లయితే, మీరు అనుమానాస్పద కాల్ల కోసం crontabని తనిఖీ చేయడం ద్వారా మరియు /root/లో అదనపు కీలు లేవని నిర్ధారించుకోవడం ద్వారా సిస్టమ్ ఇప్పటికే రాజీ పడలేదని నిర్ధారించుకోవాలి. ssh డైరెక్టరీ. మాల్వేర్ని డౌన్లోడ్ చేయడానికి ఉపయోగించే an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io మరియు an7kmd2wp4xo7hpr.onion.sh. హోస్ట్ల నుండి ఫైర్వాల్ లాగ్ యాక్టివిటీ ఉండటం ద్వారా కూడా దాడిని సూచించవచ్చు.
ఎగ్జిమ్ సర్వర్లపై దాడి చేయడానికి మొదటి ప్రయత్నాలు జూన్ 9వ తేదీ. జూన్ 13 దాడి నాటికి పాత్ర. tor2web గేట్వేల ద్వారా దుర్బలత్వాన్ని ఉపయోగించిన తర్వాత, OpenSSH ఉనికిని తనిఖీ చేసే Tor దాచిన సేవ (an7kmd2wp4xo7hpr) నుండి స్క్రిప్ట్ డౌన్లోడ్ చేయబడుతుంది (లేకపోతే ), దాని సెట్టింగులను మారుస్తుంది ( రూట్ లాగిన్ మరియు కీ ప్రమాణీకరణ) మరియు వినియోగదారుని రూట్కి సెట్ చేస్తుంది , ఇది SSH ద్వారా సిస్టమ్కు ప్రత్యేక యాక్సెస్ను అందిస్తుంది.
బ్యాక్డోర్ను సెటప్ చేసిన తర్వాత, ఇతర హాని కలిగించే సర్వర్లను గుర్తించడానికి సిస్టమ్లో పోర్ట్ స్కానర్ ఇన్స్టాల్ చేయబడుతుంది. సిస్టమ్ ఇప్పటికే ఉన్న మైనింగ్ సిస్టమ్ల కోసం కూడా శోధించబడుతుంది, అవి గుర్తించబడితే తొలగించబడతాయి. చివరి దశలో, మీ స్వంత మైనర్ డౌన్లోడ్ చేయబడింది మరియు క్రాంటాబ్లో నమోదు చేయబడింది. మైనర్ ఒక ico ఫైల్ ముసుగులో డౌన్లోడ్ చేయబడింది (వాస్తవానికి ఇది పాస్వర్డ్ "నో-పాస్వర్డ్"తో కూడిన జిప్ ఆర్కైవ్), ఇది Linux కోసం ELF ఆకృతిలో Glibc 2.7+తో ఎక్జిక్యూటబుల్ ఫైల్ను కలిగి ఉంటుంది.
మూలం: opennet.ru