وہ ساتھی جو اپنے میل سرورز پر Exim ورژن 4.87...4.91 استعمال کرتے ہیں - فوری طور پر ورژن 4.92 پر اپ ڈیٹ کریں، جس نے پہلے خود Exim کو روک دیا تھا تاکہ CVE-2019-10149 کے ذریعے ہیکنگ سے بچا جا سکے۔
دنیا بھر میں کئی ملین سرورز ممکنہ طور پر خطرے سے دوچار ہیں، خطرے کو اہم قرار دیا گیا ہے (CVSS 3.0 بیس سکور = 9.8/10)۔ حملہ آور آپ کے سرور پر من مانی کمانڈ چلا سکتے ہیں، بہت سے معاملات میں روٹ سے۔
براہ کرم یقینی بنائیں کہ آپ ایک فکسڈ ورژن (4.92) استعمال کر رہے ہیں یا وہ جو پہلے ہی پیچ کر چکے ہیں۔
یا موجودہ کو پیوند کریں، تھریڈ دیکھیں .
کے لیے اپ ڈیٹ کریں۔ سینٹس 6: سینٹی میٹر. - سینٹوس 7 کے لیے یہ بھی کام کرتا ہے، اگر یہ ابھی تک براہ راست ایپل سے نہیں پہنچا ہے۔
UPD: Ubuntu متاثر ہوا ہے۔ 18.04 اور 18.10ان کے لیے ایک اپ ڈیٹ جاری کیا گیا ہے۔ ورژن 16.04 اور 19.04 اس وقت تک متاثر نہیں ہوتے جب تک کہ ان پر حسب ضرورت آپشنز انسٹال نہ ہوں۔ مزید تفصیلات .
اب وہاں بیان کردہ مسئلہ کا فعال طور پر استحصال کیا جا رہا ہے (ایک بوٹ کے ذریعہ، غالباً)، میں نے کچھ سرورز پر انفیکشن دیکھا (4.91 پر چل رہا ہے)۔
مزید پڑھنا صرف ان لوگوں کے لیے متعلقہ ہے جو پہلے ہی "حاصل کر چکے ہیں" - آپ کو یا تو ہر چیز کو تازہ سافٹ ویئر کے ساتھ صاف VPS پر منتقل کرنے کی ضرورت ہے، یا کوئی حل تلاش کرنا ہوگا۔ کیا ہم کوشش کریں؟ لکھیں کہ کیا کوئی اس میلویئر پر قابو پا سکتا ہے۔
اگر آپ، ایک Exim صارف ہونے کے ناطے اور اسے پڑھ رہے ہیں، پھر بھی اپ ڈیٹ نہیں کیا ہے (اس بات کو یقینی نہیں بنایا ہے کہ 4.92 یا پیچ شدہ ورژن دستیاب ہے)، تو براہ کرم رکیں اور اپ ڈیٹ کرنے کے لیے چلائیں۔
ان لوگوں کے لیے جو پہلے ہی وہاں پہنچ چکے ہیں، آئیے جاری رکھیں...
یوپیڈی: اور صحیح مشورہ دیتا ہے:
میلویئر کی ایک بڑی قسم ہو سکتی ہے۔ غلط کام کے لیے دوا شروع کرنے اور قطار کو صاف کرنے سے، صارف ٹھیک نہیں ہو گا اور ہو سکتا ہے کہ اسے معلوم نہ ہو کہ اسے کس چیز کا علاج کرنے کی ضرورت ہے۔
انفیکشن اس طرح نمایاں ہے: [kthrotlds] پروسیسر کو لوڈ کرتا ہے۔ کمزور VDS پر یہ 100% ہے، سرورز پر یہ کمزور لیکن قابل توجہ ہے۔
انفیکشن کے بعد، میلویئر کرون کے اندراجات کو حذف کر دیتا ہے، ہر 4 منٹ میں چلانے کے لیے وہاں خود کو رجسٹر کرتا ہے، جبکہ کرونٹاب فائل کو ناقابل تغیر بناتا ہے۔ کرونٹاب -ای تبدیلیوں کو محفوظ نہیں کر سکتا، غلطی دیتا ہے۔
ناقابل تغیر کو ہٹایا جاسکتا ہے، مثال کے طور پر، اس طرح، اور پھر کمانڈ لائن (1.5kb) کو حذف کریں:
chattr -i /var/spool/cron/root
crontab -e
اگلا، کرونٹاب ایڈیٹر (vim) میں، لائن کو حذف کریں اور محفوظ کریں:dd
:wq
تاہم، کچھ فعال عمل دوبارہ لکھ رہے ہیں، میں اس کا پتہ لگا رہا ہوں۔
ایک ہی وقت میں، انسٹالر اسکرپٹ (نیچے دیکھیں) کے پتوں پر ایکٹو ویجٹس (یا curls) کا ایک گروپ لٹکا ہوا ہے، میں انہیں ابھی کے لیے اس طرح نیچے کر رہا ہوں، لیکن وہ دوبارہ شروع ہو جاتے ہیں:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
مجھے یہاں Trojan انسٹالر اسکرپٹ ملا (centos): /usr/local/bin/nptd... میں اسے اس سے بچنے کے لیے پوسٹ نہیں کر رہا ہوں، لیکن اگر کوئی متاثر ہے اور شیل اسکرپٹس کو سمجھتا ہے، تو براہ کرم اس کا مزید احتیاط سے مطالعہ کریں۔
معلومات کو اپ ڈیٹ کرتے ہی میں شامل کروں گا۔
UPD 1: فائلوں کو حذف کرنا (ابتدائی chatr -i کے ساتھ) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root سے کوئی فائدہ نہیں ہوا، اور نہ ہی سروس کو روکنے سے - مجھے کرنا پڑا crontab اب اسے مکمل طور پر پھاڑ دیں (بن فائل کا نام تبدیل کریں)۔
UPD 2: ٹروجن انسٹالر بعض اوقات دوسری جگہوں پر بھی پڑا رہتا تھا، سائز کے لحاظ سے تلاش کرنے میں مدد ملی:
تلاش کریں / -سائز 19825c
UPD 3/XNUMX/XNUMX: ہوشیار! سیلینکس کو غیر فعال کرنے کے علاوہ، ٹروجن بھی اپنا اضافہ کرتا ہے۔ SSH کلید ${sshdir}/authorized_keys میں! اور مندرجہ ذیل فیلڈز کو /etc/ssh/sshd_config میں فعال کرتا ہے، اگر وہ پہلے سے YES پر سیٹ نہیں کیے گئے ہیں:
پرمٹ روٹلوگین ہاں
RSAA تصدیق ہاں
PubkeyAuthentication ہاں
echo UsePAM ہاں
پاس ورڈ کی توثیق جی ہاں
UPD 4: اس وقت خلاصہ کرنے کے لیے: Exim، cron (جڑوں کے ساتھ) کو غیر فعال کریں، فوری طور پر ssh سے Trojan کلید کو ہٹا دیں اور sshd کنفیگریشن میں ترمیم کریں، sshd کو دوبارہ شروع کریں! اور یہ ابھی تک واضح نہیں ہے کہ اس سے مدد ملے گی، لیکن اس کے بغیر ایک مسئلہ ہے۔
میں نے پیچ/اپ ڈیٹس کے بارے میں تبصروں سے لے کر نوٹ کے آغاز میں اہم معلومات کو منتقل کیا، تاکہ قارئین اس سے شروعات کریں۔
UPD 5/XNUMX/XNUMX: کہ میلویئر نے ورڈپریس میں پاس ورڈ تبدیل کر دیے۔
UPD 6/XNUMX/XNUMX: ، آئیے ٹیسٹ کریں! ریبوٹ یا بند ہونے کے بعد، دوا غائب ہوتی نظر آتی ہے، لیکن ابھی کے لیے کم از کم اتنا ہی ہے۔
کوئی بھی جو ایک مستحکم حل بناتا ہے (یا ڈھونڈتا ہے)، براہ کرم لکھیں، آپ بہت سے لوگوں کی مدد کریں گے۔
UPD 7/XNUMX/XNUMX: لکھتے ہیں:
اگر آپ نے پہلے ہی یہ نہیں کہا ہے کہ ایگزم میں ایک غیر بھیجے گئے خط کی بدولت وائرس دوبارہ زندہ ہو گیا ہے، جب آپ دوبارہ خط بھیجنے کی کوشش کرتے ہیں تو وہ بحال ہو جاتا ہے، /var/spool/exim4 میں دیکھیں۔
آپ پوری ایگزم قطار کو اس طرح صاف کر سکتے ہیں:
exipick -i | xargs exim -Mrm
قطار میں اندراجات کی تعداد کی جانچ کرنا:
exim -bpc
UPD 8: دوبارہ : فرسٹ وی ڈی ایس نے علاج کے لیے اسکرپٹ کا اپنا ورژن پیش کیا، آئیے اس کی جانچ کریں!
UPD 9: ایسا لگتا ہے۔ کام کر رہا ہے، شکریہ سکرپٹ کے لئے!
اہم بات یہ نہیں بھولنا ہے کہ سرور سے پہلے ہی سمجھوتہ کیا گیا تھا اور حملہ آور کچھ اور غیر معمولی گندی چیزیں لگانے میں کامیاب ہو سکتے تھے (ڈراپر میں درج نہیں)۔
اس لیے بہتر ہے کہ مکمل طور پر انسٹال شدہ سرور (vds) پر چلے جائیں، یا کم از کم موضوع کی نگرانی جاری رکھیں - اگر کوئی نئی بات ہو تو یہاں کمنٹس میں لکھیں، کیونکہ ظاہر ہے کہ ہر کوئی نئی تنصیب کی طرف نہیں جائے گا...
UPD 10: ایک بار پھر شکریہ : یہ یاد دلاتا ہے کہ نہ صرف سرورز متاثر ہوئے ہیں، بلکہ رسبری PI، اور ہر طرح کی ورچوئل مشینیں... لہذا سرورز کو محفوظ کرنے کے بعد، اپنے ویڈیو کنسولز، روبوٹس وغیرہ کو محفوظ کرنا نہ بھولیں۔
UPD 11: منجانب دستی علاج کرنے والوں کے لیے اہم نوٹ:
(اس میلویئر کا مقابلہ کرنے کا ایک یا دوسرا طریقہ استعمال کرنے کے بعد)
آپ کو یقینی طور پر دوبارہ شروع کرنے کی ضرورت ہے - میلویئر کہیں کھلے عمل میں بیٹھتا ہے اور اس کے مطابق، میموری میں، اور ہر 30 سیکنڈ میں کرون کرنے کے لیے خود کو ایک نیا لکھتا ہے۔
UPD 12/XNUMX/XNUMX: Exim کی قطار میں ایک اور مالویئر ہے اور آپ کو مشورہ دیتا ہے کہ علاج شروع کرنے سے پہلے اپنے مخصوص مسئلے کا مطالعہ کریں۔
UPD 13/XNUMX/XNUMX: بلکہ، ایک صاف ستھرا نظام پر جائیں، اور فائلوں کو انتہائی احتیاط سے منتقل کریں، کیونکہ میلویئر پہلے ہی عوامی طور پر دستیاب ہے اور اسے دوسرے، کم واضح اور زیادہ خطرناک طریقوں سے استعمال کیا جا سکتا ہے۔
UPD 14: خود کو یقین دلانا کہ ہوشیار لوگ جڑ سے نہیں بھاگتے - ایک اور چیز :
یہاں تک کہ اگر یہ جڑ سے کام نہیں کرتا ہے، ہیکنگ ہوتی ہے... میرے پاس ڈیبین جیسی UPD ہے: میری اورنج پی پر پھیلاؤ، Exim Debian-exim سے چل رہا ہے اور پھر بھی ہیکنگ ہوئی، تاج کھوئے، وغیرہ۔
UPD 15: جب سمجھوتہ کرنے والے سے کلین سرور پر جائیں تو حفظان صحت کے بارے میں مت بھولیں، :
ڈیٹا منتقل کرتے وقت، نہ صرف قابل عمل یا کنفیگریشن فائلوں پر توجہ دیں، بلکہ ہر اس چیز پر بھی توجہ دیں جس میں بدنیتی پر مبنی کمانڈز ہوں (مثال کے طور پر، MySQL میں یہ CREATE TRIGGER یا CREATE EVENT ہو سکتا ہے)۔ اس کے علاوہ، .html, .js, .php, .py اور دیگر عوامی فائلوں کے بارے میں مت بھولنا (مثالی طور پر یہ فائلیں، دوسرے ڈیٹا کی طرح، مقامی یا دیگر قابل اعتماد اسٹوریج سے بحال ہونی چاہئیں)۔
UPD 16/XNUMX/XNUMX: и : سسٹم میں ایگزم کا ایک ورژن بندرگاہوں میں نصب تھا، لیکن حقیقت میں یہ دوسرا چل رہا تھا۔
تو سب اپ ڈیٹ کے بعد آپ کو یقینی بنانا چاہئے کہ آپ نیا ورژن استعمال کر رہے ہیں!
exim --versionہم نے مل کر ان کی مخصوص صورتحال کو حل کیا۔
سرور نے DirectAdmin اور اس کا پرانا da_exim پیکیج (پرانا ورژن، بغیر کسی خطرے کے) استعمال کیا۔
اسی وقت، DirectAdmin کے custombuild پیکیج مینیجر کی مدد سے، درحقیقت، پھر Exim کا ایک نیا ورژن انسٹال کیا گیا، جو پہلے سے ہی کمزور تھا۔
اس خاص صورت حال میں، custombuild کے ذریعے اپ ڈیٹ کرنے سے بھی مدد ملی۔
اس طرح کے تجربات سے پہلے بیک اپ بنانا نہ بھولیں، اور یہ بھی یقینی بنائیں کہ اپ ڈیٹ سے پہلے/بعد کے تمام Exim پروسیس پرانے ورژن کے ہیں۔ اور یادداشت میں "پھنس" نہیں ہے۔
ماخذ: www.habr.com