وہ ساتھی جو اپنے میل سرورز پر Exim ورژن 4.87...4.91 استعمال کرتے ہیں - فوری طور پر ورژن 4.92 پر اپ ڈیٹ کریں، جس نے پہلے خود Exim کو روک دیا تھا تاکہ CVE-2019-10149 کے ذریعے ہیکنگ سے بچا جا سکے۔
دنیا بھر میں کئی ملین سرورز ممکنہ طور پر خطرے سے دوچار ہیں، خطرے کو اہم قرار دیا گیا ہے (CVSS 3.0 بیس سکور = 9.8/10)۔ حملہ آور آپ کے سرور پر من مانی کمانڈ چلا سکتے ہیں، بہت سے معاملات میں روٹ سے۔
براہ کرم یقینی بنائیں کہ آپ ایک فکسڈ ورژن (4.92) استعمال کر رہے ہیں یا وہ جو پہلے ہی پیچ کر چکے ہیں۔
یا موجودہ کو پیوند کریں، تھریڈ دیکھیں
کے لیے اپ ڈیٹ کریں۔ سینٹس 6: سینٹی میٹر.
UPD: Ubuntu متاثر ہوا ہے۔ 18.04 اور 18.10ان کے لیے ایک اپ ڈیٹ جاری کیا گیا ہے۔ ورژن 16.04 اور 19.04 اس وقت تک متاثر نہیں ہوتے جب تک کہ ان پر حسب ضرورت آپشنز انسٹال نہ ہوں۔ مزید تفصیلات
اب وہاں بیان کردہ مسئلہ کا فعال طور پر استحصال کیا جا رہا ہے (ایک بوٹ کے ذریعہ، غالباً)، میں نے کچھ سرورز پر انفیکشن دیکھا (4.91 پر چل رہا ہے)۔
مزید پڑھنا صرف ان لوگوں کے لیے متعلقہ ہے جو پہلے ہی "حاصل کر چکے ہیں" - آپ کو یا تو ہر چیز کو تازہ سافٹ ویئر کے ساتھ صاف VPS پر منتقل کرنے کی ضرورت ہے، یا کوئی حل تلاش کرنا ہوگا۔ کیا ہم کوشش کریں؟ لکھیں کہ کیا کوئی اس میلویئر پر قابو پا سکتا ہے۔
اگر آپ، ایک Exim صارف ہونے کے ناطے اور اسے پڑھ رہے ہیں، پھر بھی اپ ڈیٹ نہیں کیا ہے (اس بات کو یقینی نہیں بنایا ہے کہ 4.92 یا پیچ شدہ ورژن دستیاب ہے)، تو براہ کرم رکیں اور اپ ڈیٹ کرنے کے لیے چلائیں۔
ان لوگوں کے لیے جو پہلے ہی وہاں پہنچ چکے ہیں، آئیے جاری رکھیں...
یوپیڈی:
میلویئر کی ایک بڑی قسم ہو سکتی ہے۔ غلط کام کے لیے دوا شروع کرنے اور قطار کو صاف کرنے سے، صارف ٹھیک نہیں ہو گا اور ہو سکتا ہے کہ اسے معلوم نہ ہو کہ اسے کس چیز کا علاج کرنے کی ضرورت ہے۔
انفیکشن اس طرح نمایاں ہے: [kthrotlds] پروسیسر کو لوڈ کرتا ہے۔ کمزور VDS پر یہ 100% ہے، سرورز پر یہ کمزور لیکن قابل توجہ ہے۔
انفیکشن کے بعد، میلویئر کرون کے اندراجات کو حذف کر دیتا ہے، ہر 4 منٹ میں چلانے کے لیے وہاں خود کو رجسٹر کرتا ہے، جبکہ کرونٹاب فائل کو ناقابل تغیر بناتا ہے۔ کرونٹاب -ای تبدیلیوں کو محفوظ نہیں کر سکتا، غلطی دیتا ہے۔
ناقابل تغیر کو ہٹایا جاسکتا ہے، مثال کے طور پر، اس طرح، اور پھر کمانڈ لائن (1.5kb) کو حذف کریں:
chattr -i /var/spool/cron/root
crontab -e
اگلا، کرونٹاب ایڈیٹر (vim) میں، لائن کو حذف کریں اور محفوظ کریں:dd
:wq
تاہم، کچھ فعال عمل دوبارہ لکھ رہے ہیں، میں اس کا پتہ لگا رہا ہوں۔
ایک ہی وقت میں، انسٹالر اسکرپٹ (نیچے دیکھیں) کے پتوں پر ایکٹو ویجٹس (یا curls) کا ایک گروپ لٹکا ہوا ہے، میں انہیں ابھی کے لیے اس طرح نیچے کر رہا ہوں، لیکن وہ دوبارہ شروع ہو جاتے ہیں:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
مجھے یہاں Trojan انسٹالر اسکرپٹ ملا (centos): /usr/local/bin/nptd... میں اسے اس سے بچنے کے لیے پوسٹ نہیں کر رہا ہوں، لیکن اگر کوئی متاثر ہے اور شیل اسکرپٹس کو سمجھتا ہے، تو براہ کرم اس کا مزید احتیاط سے مطالعہ کریں۔
معلومات کو اپ ڈیٹ کرتے ہی میں شامل کروں گا۔
UPD 1: فائلوں کو حذف کرنا (ابتدائی chatr -i کے ساتھ) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root سے کوئی فائدہ نہیں ہوا، اور نہ ہی سروس کو روکنے سے - مجھے کرنا پڑا crontab اب اسے مکمل طور پر پھاڑ دیں (بن فائل کا نام تبدیل کریں)۔
UPD 2: ٹروجن انسٹالر بعض اوقات دوسری جگہوں پر بھی پڑا رہتا تھا، سائز کے لحاظ سے تلاش کرنے میں مدد ملی:
تلاش کریں / -سائز 19825c
UPD 3/XNUMX/XNUMX: ہوشیار! سیلینکس کو غیر فعال کرنے کے علاوہ، ٹروجن بھی اپنا اضافہ کرتا ہے۔ SSH کلید ${sshdir}/authorized_keys میں! اور مندرجہ ذیل فیلڈز کو /etc/ssh/sshd_config میں فعال کرتا ہے، اگر وہ پہلے سے YES پر سیٹ نہیں کیے گئے ہیں:
پرمٹ روٹلوگین ہاں
RSAA تصدیق ہاں
PubkeyAuthentication ہاں
echo UsePAM ہاں
پاس ورڈ کی توثیق جی ہاں
UPD 4: اس وقت خلاصہ کرنے کے لیے: Exim، cron (جڑوں کے ساتھ) کو غیر فعال کریں، فوری طور پر ssh سے Trojan کلید کو ہٹا دیں اور sshd کنفیگریشن میں ترمیم کریں، sshd کو دوبارہ شروع کریں! اور یہ ابھی تک واضح نہیں ہے کہ اس سے مدد ملے گی، لیکن اس کے بغیر ایک مسئلہ ہے۔
میں نے پیچ/اپ ڈیٹس کے بارے میں تبصروں سے لے کر نوٹ کے آغاز میں اہم معلومات کو منتقل کیا، تاکہ قارئین اس سے شروعات کریں۔
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
کوئی بھی جو ایک مستحکم حل بناتا ہے (یا ڈھونڈتا ہے)، براہ کرم لکھیں، آپ بہت سے لوگوں کی مدد کریں گے۔
UPD 7/XNUMX/XNUMX:
اگر آپ نے پہلے ہی یہ نہیں کہا ہے کہ ایگزم میں ایک غیر بھیجے گئے خط کی بدولت وائرس دوبارہ زندہ ہو گیا ہے، جب آپ دوبارہ خط بھیجنے کی کوشش کرتے ہیں تو وہ بحال ہو جاتا ہے، /var/spool/exim4 میں دیکھیں۔
آپ پوری ایگزم قطار کو اس طرح صاف کر سکتے ہیں:
exipick -i | xargs exim -Mrm
قطار میں اندراجات کی تعداد کی جانچ کرنا:
exim -bpc
UPD 8: دوبارہ
UPD 9: ایسا لگتا ہے۔ کام کر رہا ہے، شکریہ
اہم بات یہ نہیں بھولنا ہے کہ سرور سے پہلے ہی سمجھوتہ کیا گیا تھا اور حملہ آور کچھ اور غیر معمولی گندی چیزیں لگانے میں کامیاب ہو سکتے تھے (ڈراپر میں درج نہیں)۔
اس لیے بہتر ہے کہ مکمل طور پر انسٹال شدہ سرور (vds) پر چلے جائیں، یا کم از کم موضوع کی نگرانی جاری رکھیں - اگر کوئی نئی بات ہو تو یہاں کمنٹس میں لکھیں، کیونکہ ظاہر ہے کہ ہر کوئی نئی تنصیب کی طرف نہیں جائے گا...
UPD 10: ایک بار پھر شکریہ
UPD 11: منجانب
(اس میلویئر کا مقابلہ کرنے کا ایک یا دوسرا طریقہ استعمال کرنے کے بعد)
آپ کو یقینی طور پر دوبارہ شروع کرنے کی ضرورت ہے - میلویئر کہیں کھلے عمل میں بیٹھتا ہے اور اس کے مطابق، میموری میں، اور ہر 30 سیکنڈ میں کرون کرنے کے لیے خود کو ایک نیا لکھتا ہے۔
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: خود کو یقین دلانا کہ ہوشیار لوگ جڑ سے نہیں بھاگتے - ایک اور چیز
یہاں تک کہ اگر یہ جڑ سے کام نہیں کرتا ہے، ہیکنگ ہوتی ہے... میرے پاس ڈیبین جیسی UPD ہے: میری اورنج پی پر پھیلاؤ، Exim Debian-exim سے چل رہا ہے اور پھر بھی ہیکنگ ہوئی، تاج کھوئے، وغیرہ۔
UPD 15: جب سمجھوتہ کرنے والے سے کلین سرور پر جائیں تو حفظان صحت کے بارے میں مت بھولیں،
ڈیٹا منتقل کرتے وقت، نہ صرف قابل عمل یا کنفیگریشن فائلوں پر توجہ دیں، بلکہ ہر اس چیز پر بھی توجہ دیں جس میں بدنیتی پر مبنی کمانڈز ہوں (مثال کے طور پر، MySQL میں یہ CREATE TRIGGER یا CREATE EVENT ہو سکتا ہے)۔ اس کے علاوہ، .html, .js, .php, .py اور دیگر عوامی فائلوں کے بارے میں مت بھولنا (مثالی طور پر یہ فائلیں، دوسرے ڈیٹا کی طرح، مقامی یا دیگر قابل اعتماد اسٹوریج سے بحال ہونی چاہئیں)۔
UPD 16/XNUMX/XNUMX:
تو سب اپ ڈیٹ کے بعد آپ کو یقینی بنانا چاہئے کہ آپ نیا ورژن استعمال کر رہے ہیں!
exim --version
ہم نے مل کر ان کی مخصوص صورتحال کو حل کیا۔
سرور نے DirectAdmin اور اس کا پرانا da_exim پیکیج (پرانا ورژن، بغیر کسی خطرے کے) استعمال کیا۔
اسی وقت، DirectAdmin کے custombuild پیکیج مینیجر کی مدد سے، درحقیقت، پھر Exim کا ایک نیا ورژن انسٹال کیا گیا، جو پہلے سے ہی کمزور تھا۔
اس خاص صورت حال میں، custombuild کے ذریعے اپ ڈیٹ کرنے سے بھی مدد ملی۔
اس طرح کے تجربات سے پہلے بیک اپ بنانا نہ بھولیں، اور یہ بھی یقینی بنائیں کہ اپ ڈیٹ سے پہلے/بعد کے تمام Exim پروسیس پرانے ورژن کے ہیں۔
ماخذ: www.habr.com