Ҳамкорон, ки версияҳои Exim 4.87...4.91-ро дар серверҳои почтаи худ истифода мебаранд - фавран ба версияи 4.92 навсозӣ карда, қаблан худи Exim-ро қатъ карда буд, то аз ҳакерӣ тавассути CVE-2019-10149 канорагирӣ кунад.
Якчанд миллион серверҳо дар саросари ҷаҳон эҳтимолан осебпазиранд, осебпазирӣ муҳим арзёбӣ мешавад (баҳои асосии CVSS 3.0 = 9.8/10). Ҳамлагарон метавонанд дар сервери шумо фармонҳои худсарона иҷро кунанд, дар бисёр ҳолатҳо аз реша.
Лутфан боварӣ ҳосил кунед, ки шумо версияи собит (4.92) ё версияи аллакай часпондашударо истифода мебаред.
Ё мавҷударо часпонед, риштаро бубинед .
Навсозӣ барои сентос 6: см. - барои centos 7 он низ кор мекунад, агар он ҳоло мустақиман аз epel наомада бошад.
UPD: Ubuntu таъсир мерасонад 18.04 ва 18.10, навсозӣ барои онҳо бароварда шудааст. Версияҳои 16.04 ва 19.04, агар дар онҳо имконоти фармоишӣ насб нашуда бошанд, таъсир намерасонанд. Тафсилоти бештар .
Ҳоло мушкилоте, ки дар он тавсиф шудааст, фаъолона истифода мешавад (бот, эҳтимолан), ман сироятро дар баъзе серверҳо мушоҳида кардам (дар 4.91 кор мекунад).
Хониши минбаъда танҳо ба онҳое дахл дорад, ки аллакай "онро гирифтаанд" - шумо бояд ҳама чизро ба VPS-и тоза бо нармафзори нав интиқол диҳед ё роҳи ҳалли онро ҷустуҷӯ кунед. Оё мо кӯшиш кунем? Нависед, ки оё касе метавонад ин нармафзори зарароварро бартараф кунад.
Агар шумо, ки корбари Exim ҳастед ва инро хонда истодаед, то ҳол навсозӣ накарда бошед (боварӣ надоред, ки 4.92 ё версияи часпондашуда дастрас аст), лутфан бас кунед ва барои навсозӣ давед.
Барои онҳое, ки аллакай ба он ҷо расидаанд, биёед идома диҳем ...
ИПҶ - ИТТИҲОДИ ПОЧТАИ ҶАҲОНИ: ва маслиҳати дуруст медиҳад:
Мумкин аст гуногунии зиёди нармафзори зараровар вуҷуд дошта бошад. Бо ба кор андохтани дору барои чизи нодуруст ва тоза кардани навбат корбар шифо намеёбад ва шояд намедонад, ки барои чӣ табобат кардан лозим аст.
Инфексия чунин ба назар мерасад: [ktrotlds] протсессорро бор мекунад; дар VDS-и заиф он 100% аст, дар серверҳо он заифтар, вале намоён аст.
Пас аз сироят, нармафзори зараровар вурудоти cronро нест мекунад ва танҳо худро дар он ҷо сабт мекунад, то дар ҳар 4 дақиқа кор кунад ва файли crontab-ро тағирнопазир мегардонад. Crontab -e тағиротро захира карда наметавонад, хато медиҳад.
Тағирнопазирро метавон хориҷ кард, масалан, ба ин монанд, ва сипас сатри фармонро (1.5 кб) нест кард:
chattr -i /var/spool/cron/root
crontab -e
Баъд, дар муҳаррири crontab (vim), сатрро нест кунед ва захира кунед:dd
:wq
Бо вуҷуди ин, баъзе равандҳои фаъол дубора навишта мешаванд, ман инро фаҳмида истодаам.
Дар айни замон, дар суроғаҳои скрипти насбкунанда як қатор wgetҳои фаъол (ё curls) овезон ҳастанд (нигаред ба поён), ман онҳоро ҳоло ҳамин тавр мезанам, аммо онҳо дубора оғоз мекунанд:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ман скрипти насбкунандаи троянро дар ин ҷо ёфтам (centos): /usr/local/bin/nptd... Ман онро барои пешгирӣ кардани он интишор намекунам, аммо агар касе сироят ёфта бошад ва скриптҳои ҷилдиро дарк кунад, лутфан онро бодиққат омӯзед.
Вақте ки маълумот нав карда мешавад, ман илова мекунам.
UPD 1: Нест кардани файлҳо (бо chattr -i пешакӣ) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root кӯмак накард ва хидматро қатъ накард - ман маҷбур будам crontab ҳоло онро комилан канда кунед (номи файли бинро иваз кунед).
UPD 2: Насбкунандаи троян низ баъзан дар ҷойҳои дигар хобида буд ва ҷустуҷӯ аз рӯи андоза кӯмак кард:
пайдо кардани / -андозаи 19825c
UPD 3/XNUMX/XNUMX: Диққат! Илова ба ғайрифаъол кардани selinux, Троян инчунин худро илова мекунад Калиди SSH дар ${sshdir}/authorized_keys! Ва майдонҳои зеринро дар /etc/ssh/sshd_config фаъол мекунад, агар онҳо аллакай ба ҲА таъин нашуда бошанд:
PermitRootLogin бале
RSAAuthentication ҳа
PubkeyAuthentication ҳа
echo UsePAM ҳа
PasswordAuthentication ҳа
UPD 4: Барои ҳозир хулоса кардан: Exim, cron (бо реша) -ро ғайрифаъол кунед, фавран калиди трояниро аз ssh хориҷ кунед ва конфигуратсияи sshd-ро таҳрир кунед, sshd-ро аз нав оғоз кунед! Ва ҳанӯз маълум нест, ки ин кӯмак мекунад, аммо бидуни он мушкилот вуҷуд дорад.
Ман маълумоти муҳимро аз шарҳҳо дар бораи часбҳо/навсозӣ ба аввали ёддошт интиқол додам, то хонандагон аз он оғоз кунанд.
UPD 5/XNUMX/XNUMX: ки нармафзори зараровар паролҳоро дар WordPress иваз кард.
UPD 6/XNUMX/XNUMX: , биёед озмоиш кунем! Пас аз бозоғозӣ ё қатъ, дору ба назар нопадид мешавад, аммо дар айни замон ҳадди аққал ҳамин аст.
Ҳар касе, ки ҳалли устуворро медиҳад (ё меёбад), лутфан нависед, шумо ба бисёриҳо кӯмак мекунед.
UPD 7/XNUMX/XNUMX: менависад:
Агар шумо аллакай нагуфтаед, ки вирус ба шарофати мактуби ирсолнашуда дар Exim эҳё шудааст, вақте ки шумо бори дигар нома фиристоданӣ мешавед, он барқарор мешавад, ба /var/spool/exim4 нигаред.
Шумо метавонед тамоми навбати Exim-ро чунин тоза кунед:
exipick -i | xargs exim - Mrm
Санҷиши шумораи сабтҳо дар навбат:
exim -bpc
UPD 8: Боз : FirstVDS версияи скрипти табобатро пешниҳод кард, биёед онро санҷем!
UPD 9: Чунин ба назар мерасад кор мекунанд, ташаккур барои скрипт!
Муҳим он аст, ки фаромӯш накунед, ки сервер аллакай осеб дидааст ва ҳамлагарон тавонистанд, ки боз чанд чизҳои номатлубро шинонанд (дар дроппер номбар нашудаанд).
Аз ин рӯ, беҳтар аст, ки ба сервери комилан насбшуда (vds) гузаред ё ҳадди аққал мониторинги мавзӯъро идома диҳед - агар чизи наве бошад, дар шарҳҳо дар ин ҷо нависед, зеро Аён аст, ки на ҳама ба насби нав мегузаранд ...
UPD 10: Боз ташаккур : он хотиррасон мекунад, ки на танҳо серверҳо, балки низ сироят шудаанд Папа Пин, ва ҳама гуна мошинҳои виртуалӣ ... Пас, пас аз захира кардани серверҳо, захира кардани консолҳои видеоӣ, роботҳо ва ғайраро фаромӯш накунед.
UPD 11: Аз Қайдҳои муҳим барои табибони дастӣ:
(пас аз истифодаи ин ё он усули мубориза бо ин нармафзори зараровар)
Шумо бешубҳа бояд бозоғоз кунед - нармафзори зараровар дар ҷое дар равандҳои кушода ва мутаносибан дар хотира нишастааст ва худро дар ҳар 30 сония як нав менависад.
UPD 12/XNUMX/XNUMX: Exim дар навбати худ як нармафзори дигари зараровар (?) дорад ва ба шумо маслиҳат медиҳад, ки пеш аз оғози табобат аввал мушкилоти мушаххаси худро омӯзед.
UPD 13/XNUMX/XNUMX: балки ба системаи тоза гузаред ва файлхоро хеле эхтиёткорона интиқол диҳед, зеро Нармафзори зараровар аллакай дастрас аст ва онро метавон бо дигар тарзҳои камтар возеҳ ва хатарноктар истифода кард.
UPD 14: худамонро итминон медиҳем, ки одамони оқил аз реша намераванд - як чизи дигар :
Ҳатто агар он аз реша кор накунад, ҳакерӣ рух медиҳад ... Ман debian jessie UPD дорам: дар OrangePi-и худ дароз кунед, Exim аз Debian-exim кор мекунад ва то ҳол ҳакерӣ рух дод, тоҷҳои гумшуда ва ғайра.
UPD 15: Ҳангоми гузаштан ба сервери тоза аз сервери осебдида, дар бораи гигиена фаромӯш накунед, :
Ҳангоми интиқоли маълумот, на танҳо ба файлҳои иҷрошаванда ё конфигуратсия, балки ба ҳама чизҳое, ки метавонанд дорои фармонҳои зараровар бошанд, диққат диҳед (масалан, дар MySQL ин метавонад CREATE TRIGGER ё CREATE EVENT бошад). Инчунин, дар бораи .html, .js, .php, .py ва дигар файлҳои ҷамъиятӣ фаромӯш накунед (идеалӣ ин файлҳо, ба монанди дигар маълумот, бояд аз нигаҳдории маҳаллӣ ё дигар эътимоднок барқарор карда шаванд).
UPD 16/XNUMX/XNUMX: и : система як версияи Exim дар портҳо насб карда шуда буд, аммо дар асл дигараш кор мекард.
Пас ҳама пас аз навсозӣ шумо бояд боварӣ ҳосил кунед ки шумо версияи навро истифода мебаред!
exim --versionМо вазъияти мушаххаси онҳоро якҷоя муайян кардем.
Сервер DirectAdmin ва бастаи кӯҳнаи da_exim-ро истифода бурд (версияи кӯҳна, бе осебпазирӣ).
Ҳамзамон, бо кӯмаки менеҷери бастаи custombuild DirectAdmin, воқеан, версияи нави Exim насб карда шуд, ки аллакай осебпазир буд.
Дар ин вазъияти мушаххас, навсозӣ тавассути custombuild низ кӯмак кард.
Фаромӯш накунед, ки пеш аз чунин таҷрибаҳо нусхабардорӣ кунед ва инчунин боварӣ ҳосил кунед, ки пеш аз / пас аз навсозӣ ҳама равандҳои Exim версияи кӯҳна мебошанд. ва дар хотира «часпида» нашудаанд.
Манбаъ: will.com