Ҳамкорон, ки версияҳои Exim 4.87...4.91-ро дар серверҳои почтаи худ истифода мебаранд - фавран ба версияи 4.92 навсозӣ карда, қаблан худи Exim-ро қатъ карда буд, то аз ҳакерӣ тавассути CVE-2019-10149 канорагирӣ кунад.
Якчанд миллион серверҳо дар саросари ҷаҳон эҳтимолан осебпазиранд, осебпазирӣ муҳим арзёбӣ мешавад (баҳои асосии CVSS 3.0 = 9.8/10). Ҳамлагарон метавонанд дар сервери шумо фармонҳои худсарона иҷро кунанд, дар бисёр ҳолатҳо аз реша.
Лутфан боварӣ ҳосил кунед, ки шумо версияи собит (4.92) ё версияи аллакай часпондашударо истифода мебаред.
Ё мавҷударо часпонед, риштаро бубинед
Навсозӣ барои сентос 6: см.
UPD: Ubuntu таъсир мерасонад 18.04 ва 18.10, навсозӣ барои онҳо бароварда шудааст. Версияҳои 16.04 ва 19.04, агар дар онҳо имконоти фармоишӣ насб нашуда бошанд, таъсир намерасонанд. Тафсилоти бештар
Ҳоло мушкилоте, ки дар он тавсиф шудааст, фаъолона истифода мешавад (бот, эҳтимолан), ман сироятро дар баъзе серверҳо мушоҳида кардам (дар 4.91 кор мекунад).
Хониши минбаъда танҳо ба онҳое дахл дорад, ки аллакай "онро гирифтаанд" - шумо бояд ҳама чизро ба VPS-и тоза бо нармафзори нав интиқол диҳед ё роҳи ҳалли онро ҷустуҷӯ кунед. Оё мо кӯшиш кунем? Нависед, ки оё касе метавонад ин нармафзори зарароварро бартараф кунад.
Агар шумо, ки корбари Exim ҳастед ва инро хонда истодаед, то ҳол навсозӣ накарда бошед (боварӣ надоред, ки 4.92 ё версияи часпондашуда дастрас аст), лутфан бас кунед ва барои навсозӣ давед.
Барои онҳое, ки аллакай ба он ҷо расидаанд, биёед идома диҳем ...
ИПҶ - ИТТИҲОДИ ПОЧТАИ ҶАҲОНИ:
Мумкин аст гуногунии зиёди нармафзори зараровар вуҷуд дошта бошад. Бо ба кор андохтани дору барои чизи нодуруст ва тоза кардани навбат корбар шифо намеёбад ва шояд намедонад, ки барои чӣ табобат кардан лозим аст.
Инфексия чунин ба назар мерасад: [ktrotlds] протсессорро бор мекунад; дар VDS-и заиф он 100% аст, дар серверҳо он заифтар, вале намоён аст.
Пас аз сироят, нармафзори зараровар вурудоти cronро нест мекунад ва танҳо худро дар он ҷо сабт мекунад, то дар ҳар 4 дақиқа кор кунад ва файли crontab-ро тағирнопазир мегардонад. Crontab -e тағиротро захира карда наметавонад, хато медиҳад.
Тағирнопазирро метавон хориҷ кард, масалан, ба ин монанд, ва сипас сатри фармонро (1.5 кб) нест кард:
chattr -i /var/spool/cron/root
crontab -e
Баъд, дар муҳаррири crontab (vim), сатрро нест кунед ва захира кунед:dd
:wq
Бо вуҷуди ин, баъзе равандҳои фаъол дубора навишта мешаванд, ман инро фаҳмида истодаам.
Дар айни замон, дар суроғаҳои скрипти насбкунанда як қатор wgetҳои фаъол (ё curls) овезон ҳастанд (нигаред ба поён), ман онҳоро ҳоло ҳамин тавр мезанам, аммо онҳо дубора оғоз мекунанд:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Ман скрипти насбкунандаи троянро дар ин ҷо ёфтам (centos): /usr/local/bin/nptd... Ман онро барои пешгирӣ кардани он интишор намекунам, аммо агар касе сироят ёфта бошад ва скриптҳои ҷилдиро дарк кунад, лутфан онро бодиққат омӯзед.
Вақте ки маълумот нав карда мешавад, ман илова мекунам.
UPD 1: Нест кардани файлҳо (бо chattr -i пешакӣ) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root кӯмак накард ва хидматро қатъ накард - ман маҷбур будам crontab ҳоло онро комилан канда кунед (номи файли бинро иваз кунед).
UPD 2: Насбкунандаи троян низ баъзан дар ҷойҳои дигар хобида буд ва ҷустуҷӯ аз рӯи андоза кӯмак кард:
пайдо кардани / -андозаи 19825c
UPD 3/XNUMX/XNUMX: Диққат! Илова ба ғайрифаъол кардани selinux, Троян инчунин худро илова мекунад Калиди SSH дар ${sshdir}/authorized_keys! Ва майдонҳои зеринро дар /etc/ssh/sshd_config фаъол мекунад, агар онҳо аллакай ба ҲА таъин нашуда бошанд:
PermitRootLogin бале
RSAAuthentication ҳа
PubkeyAuthentication ҳа
echo UsePAM ҳа
PasswordAuthentication ҳа
UPD 4: Барои ҳозир хулоса кардан: Exim, cron (бо реша) -ро ғайрифаъол кунед, фавран калиди трояниро аз ssh хориҷ кунед ва конфигуратсияи sshd-ро таҳрир кунед, sshd-ро аз нав оғоз кунед! Ва ҳанӯз маълум нест, ки ин кӯмак мекунад, аммо бидуни он мушкилот вуҷуд дорад.
Ман маълумоти муҳимро аз шарҳҳо дар бораи часбҳо/навсозӣ ба аввали ёддошт интиқол додам, то хонандагон аз он оғоз кунанд.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Ҳар касе, ки ҳалли устуворро медиҳад (ё меёбад), лутфан нависед, шумо ба бисёриҳо кӯмак мекунед.
UPD 7/XNUMX/XNUMX:
Агар шумо аллакай нагуфтаед, ки вирус ба шарофати мактуби ирсолнашуда дар Exim эҳё шудааст, вақте ки шумо бори дигар нома фиристоданӣ мешавед, он барқарор мешавад, ба /var/spool/exim4 нигаред.
Шумо метавонед тамоми навбати Exim-ро чунин тоза кунед:
exipick -i | xargs exim - Mrm
Санҷиши шумораи сабтҳо дар навбат:
exim -bpc
UPD 8: Боз
UPD 9: Чунин ба назар мерасад кор мекунанд, ташаккур
Муҳим он аст, ки фаромӯш накунед, ки сервер аллакай осеб дидааст ва ҳамлагарон тавонистанд, ки боз чанд чизҳои номатлубро шинонанд (дар дроппер номбар нашудаанд).
Аз ин рӯ, беҳтар аст, ки ба сервери комилан насбшуда (vds) гузаред ё ҳадди аққал мониторинги мавзӯъро идома диҳед - агар чизи наве бошад, дар шарҳҳо дар ин ҷо нависед, зеро Аён аст, ки на ҳама ба насби нав мегузаранд ...
UPD 10: Боз ташаккур
UPD 11: Аз
(пас аз истифодаи ин ё он усули мубориза бо ин нармафзори зараровар)
Шумо бешубҳа бояд бозоғоз кунед - нармафзори зараровар дар ҷое дар равандҳои кушода ва мутаносибан дар хотира нишастааст ва худро дар ҳар 30 сония як нав менависад.
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: худамонро итминон медиҳем, ки одамони оқил аз реша намераванд - як чизи дигар
Ҳатто агар он аз реша кор накунад, ҳакерӣ рух медиҳад ... Ман debian jessie UPD дорам: дар OrangePi-и худ дароз кунед, Exim аз Debian-exim кор мекунад ва то ҳол ҳакерӣ рух дод, тоҷҳои гумшуда ва ғайра.
UPD 15: Ҳангоми гузаштан ба сервери тоза аз сервери осебдида, дар бораи гигиена фаромӯш накунед,
Ҳангоми интиқоли маълумот, на танҳо ба файлҳои иҷрошаванда ё конфигуратсия, балки ба ҳама чизҳое, ки метавонанд дорои фармонҳои зараровар бошанд, диққат диҳед (масалан, дар MySQL ин метавонад CREATE TRIGGER ё CREATE EVENT бошад). Инчунин, дар бораи .html, .js, .php, .py ва дигар файлҳои ҷамъиятӣ фаромӯш накунед (идеалӣ ин файлҳо, ба монанди дигар маълумот, бояд аз нигаҳдории маҳаллӣ ё дигар эътимоднок барқарор карда шаванд).
UPD 16/XNUMX/XNUMX:
Пас ҳама пас аз навсозӣ шумо бояд боварӣ ҳосил кунед ки шумо версияи навро истифода мебаред!
exim --version
Мо вазъияти мушаххаси онҳоро якҷоя муайян кардем.
Сервер DirectAdmin ва бастаи кӯҳнаи da_exim-ро истифода бурд (версияи кӯҳна, бе осебпазирӣ).
Ҳамзамон, бо кӯмаки менеҷери бастаи custombuild DirectAdmin, воқеан, версияи нави Exim насб карда шуд, ки аллакай осебпазир буд.
Дар ин вазъияти мушаххас, навсозӣ тавассути custombuild низ кӯмак кард.
Фаромӯш накунед, ки пеш аз чунин таҷрибаҳо нусхабардорӣ кунед ва инчунин боварӣ ҳосил кунед, ки пеш аз / пас аз навсозӣ ҳама равандҳои Exim версияи кӯҳна мебошанд.
Манбаъ: will.com