ProHoster > Блог > Isakoso > Ni kiakia ṣe imudojuiwọn exim si 4.92 - ikolu ti nṣiṣe lọwọ wa

Ni kiakia ṣe imudojuiwọn exim si 4.92 - ikolu ti nṣiṣe lọwọ wa

Awọn ẹlẹgbẹ ti o lo awọn ẹya Exim 4.87… 4.91 lori awọn olupin meeli wọn - ṣe imudojuiwọn ni iyara si ẹya 4.92, ti kọkọ duro Exim funrararẹ lati yago fun gige nipasẹ CVE-2019-10149.

Ọpọlọpọ awọn olupin miliọnu ni ayika agbaye ni o le jẹ ipalara, ailagbara naa jẹ iwọn pataki (Dimegili ipilẹ CVSS 3.0 = 9.8/10). Awọn ikọlu le ṣiṣe awọn aṣẹ lainidii lori olupin rẹ, ni ọpọlọpọ igba lati gbongbo.

Jọwọ rii daju pe o nlo ẹya ti o wa titi (4.92) tabi ọkan ti o ti pamọ tẹlẹ.
Tabi alemo eyi ti o wa tẹlẹ, wo okun immaculate ọrọìwòye.

Imudojuiwọn fun ọgọ 6: cm. ọrọìwòye Theodor - fun centos 7 o tun ṣiṣẹ, ti ko ba ti de taara lati epel sibẹsibẹ.

UPD: Ubuntu kan 18.04 ati 18.10, imudojuiwọn kan ti tu silẹ fun wọn. Awọn ẹya 16.04 ati 19.04 ko ni kan ayafi ti awọn aṣayan aṣa ti fi sori wọn. Awọn alaye diẹ sii lori oju opo wẹẹbu osise wọn.

Alaye nipa iṣoro naa lori Opennet
Alaye lori oju opo wẹẹbu Exim

Bayi iṣoro ti a ṣalaye nibẹ ti wa ni ilokulo (nipasẹ bot, aigbekele), Mo ṣe akiyesi ikolu kan lori diẹ ninu awọn olupin (nṣiṣẹ lori 4.91).

Kika siwaju jẹ pataki nikan fun awọn ti o ti “gba tẹlẹ” - o nilo lati gbe ohun gbogbo lọ si VPS mimọ pẹlu sọfitiwia tuntun, tabi wa ojutu kan. Ṣe a gbiyanju? Kọ ti ẹnikẹni ba le bori malware yii.

Ti o ba jẹ oluṣe Exim ati kika eyi, ko tii imudojuiwọn (ko rii daju pe 4.92 tabi ẹya patched wa), jọwọ duro ati ṣiṣe lati ṣe imudojuiwọn.

Fun awọn ti o ti de ibẹ tẹlẹ, jẹ ki a tẹsiwaju…

Imudojuiwọn: supersmile2009 ri iru malware miiran O fun ni imọran ti o tọ:

Orisirisi malware le wa. Nipa ifilọlẹ oogun naa fun ohun ti ko tọ ati yiyọ ti isinyi, olumulo ko ni larada ati pe o le ma mọ ohun ti o nilo lati ṣe itọju fun.

Ikolu jẹ akiyesi bi eleyi: [kthrotlds] fifuye ero isise; lori VDS alailagbara o jẹ 100%, lori awọn olupin o jẹ alailagbara ṣugbọn akiyesi.

Lẹhin ikolu, malware npa awọn titẹ sii cron kuro, fiforukọṣilẹ funrararẹ nibẹ lati ṣiṣẹ ni gbogbo iṣẹju 4, lakoko ti o jẹ ki faili crontab jẹ ailagbara. Crontab -e ko le fi awọn ayipada, yoo fun aṣiṣe.

Aileyipada le yọkuro, fun apẹẹrẹ, bii eyi, ati lẹhinna paarẹ laini aṣẹ (1.5kb):

chattr -i /var/spool/cron/root
crontab -e

Nigbamii, ninu olootu crontab (vim), paarẹ laini naa ki o fipamọ:dd
:wq

Sibẹsibẹ, diẹ ninu awọn ilana ti nṣiṣe lọwọ tun tun kọwe si, Mo n ṣaroye rẹ.

Ni akoko kanna, ọpọlọpọ awọn wgets ti nṣiṣe lọwọ (tabi awọn curls) wa ti o wa lori awọn adirẹsi lati iwe afọwọkọ insitola (wo isalẹ), Mo n lu wọn mọlẹ bi eyi fun bayi, ṣugbọn wọn tun bẹrẹ:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

Mo rii iwe afọwọkọ insitola Tirojanu nibi (centos): /usr/agbegbe/bin/nptd... Emi ko firanṣẹ lati yago fun, ṣugbọn ti ẹnikan ba ni akoran ti o loye awọn iwe afọwọkọ ikarahun, jọwọ kawe ni pẹkipẹki.

Emi yoo ṣafikun bi alaye ti ni imudojuiwọn.

UPD 1: piparẹ awọn faili (pẹlu chattr alakoko -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ko ṣe iranlọwọ, bẹni ko da iṣẹ naa duro - Mo ni lati crontab patapata fun bayi ya jade (fun lorukọ faili bin).

UPD 2: Insitola Tirojanu tun n dubulẹ ni awọn aaye miiran nigbakan, wiwa nipasẹ iwọn ṣe iranlọwọ:
ri / -iwọn 19825c

UPD 3/XNUMX/XNUMX: Išọra Ni afikun si piparẹ selinux, Tirojanu tun ṣafikun tirẹ SSH bọtini ni ${sshdir}/awọn bọtini_authorized_keys! Ati mu awọn aaye wọnyi ṣiṣẹ ni /etc/ssh/sshd_config, ti wọn ko ba ti ṣeto tẹlẹ si BẸẸNI:
PermitRootLogin bẹẹni
Ijeri RSAA bẹẹni
Ijẹrisi Pubkey bẹẹni
iwoyi UsePAM bẹẹni
Ọrọigbaniwọle Ijeri bẹẹni

UPD 4: Lati ṣe akopọ fun bayi: mu Exim, cron (pẹlu awọn gbongbo), yọ Tirojanu kuro ni kiakia lati ssh ki o ṣatunkọ atunto sshd, tun sshd bẹrẹ! Ati pe ko sibẹsibẹ han pe eyi yoo ṣe iranlọwọ, ṣugbọn laisi rẹ iṣoro kan wa.

Mo ti gbe alaye pataki lati awọn asọye nipa awọn abulẹ / awọn imudojuiwọn si ibẹrẹ ti akọsilẹ, ki awọn onkawe bẹrẹ pẹlu rẹ.

UPD 5/XNUMX/XNUMX: AnotherDenny kọ pe malware yi awọn ọrọigbaniwọle pada ni Wodupiresi.

UPD 6/XNUMX/XNUMX: Paulmann pese iwosan fun igba diẹ, jẹ ki a ṣe idanwo! Lẹhin atunbere tabi tiipa, oogun naa dabi pe o parẹ, ṣugbọn fun bayi o kere ju iyẹn ni.

Ẹnikẹni ti o ba ṣe (tabi ri) ojutu iduroṣinṣin, jọwọ kọ, iwọ yoo ṣe iranlọwọ fun ọpọlọpọ.

UPD 7/XNUMX/XNUMX: olumulo clsv o kọ:

Ti o ko ba ti sọ tẹlẹ pe ọlọjẹ naa ti jinde ọpẹ si lẹta ti a ko firanṣẹ ni Exim, nigbati o ba gbiyanju lati fi lẹta ranṣẹ lẹẹkansi, o ti tun pada, wo inu /var/spool/exim4

O le ko gbogbo isinyi Exim kuro bi eleyi:
exipick -i | xargs exim -Mrm
Ṣiṣayẹwo nọmba awọn titẹ sii ninu isinyi:
exim -bpc

UPD 8: Lẹẹkansi o ṣeun fun alaye AnotherDenny: FirstVDS funni ni ẹya wọn ti iwe afọwọkọ itọju, jẹ ki a ṣe idanwo rẹ!

UPD 9: O dabi Iwọn didun, o ṣeun Kirill fun akosile!

Ohun akọkọ kii ṣe lati gbagbe pe olupin naa ti ni adehun tẹlẹ ati pe awọn ikọlu le ti ṣakoso lati gbin diẹ ninu awọn ohun ẹgbin diẹ sii (kii ṣe atokọ ni dropper).

Nitorinaa, o dara lati gbe si olupin ti a ti fi sori ẹrọ patapata (vds), tabi o kere tẹsiwaju lati ṣe atẹle koko-ọrọ - ti ohunkohun tuntun ba wa, kọ ninu awọn asọye nibi, nitori O han ni kii ṣe gbogbo eniyan yoo gbe si fifi sori tuntun kan…

UPD 10: O ṣeun lẹẹkansi clsv: o leti pe kii ṣe awọn olupin nikan ni o ni akoran, ṣugbọn tun Pipe rasipibẹri, ati gbogbo iru awọn ẹrọ foju ... Nitorina lẹhin fifipamọ awọn olupin, maṣe gbagbe lati fi awọn afaworanhan fidio rẹ, awọn roboti, ati bẹbẹ lọ.

UPD 11: Lati onkowe ti iwosan akosile Akọsilẹ pataki fun awọn olutọju ọwọ:
(lẹhin lilo ọkan tabi ọna miiran ti ija malware yii)

O dajudaju o nilo lati tun bẹrẹ - malware joko ni ibikan ni awọn ilana ṣiṣi ati, ni ibamu, ni iranti, o kọ ararẹ tuntun kan si cron ni gbogbo iṣẹju-aaya 30

UPD 12/XNUMX/XNUMX: supersmile2009 ri Exim ni malware miiran (?) ni isinyi ati gba ọ niyanju lati kọkọ kọkọ ni iṣoro rẹ pato ṣaaju ki o to bẹrẹ itọju.

UPD 13/XNUMX/XNUMX: lorc ni imọran dipo, gbe lọ si eto ti o mọ, ati gbe awọn faili lọpọlọpọ, nitori malware ti wa ni gbangba ati pe o le ṣee lo ni miiran, ti ko han gbangba ati awọn ọna ti o lewu diẹ sii.

UPD 14: ni idaniloju ara wa pe awọn eniyan ọlọgbọn ko ṣiṣe lati gbongbo - ohun kan diẹ sii ifiranṣẹ kiakia lati clsv:

Paapa ti o ko ba ṣiṣẹ lati labẹ root, sakasaka waye ... Mo ni debian jessie UPD: na lori OrangePi mi, Exim nṣiṣẹ lati Debian-exim ati ki o si tun sakasaka sele, sọnu crowns, ati be be lo.

UPD 15: nigbati o ba nlọ si olupin mimọ lati ọkan ti o ni ipalara, maṣe gbagbe nipa imototo, wulo olurannileti lati w0den:

Nigbati o ba n gbe data lọ, ṣe akiyesi kii ṣe si ṣiṣe tabi awọn faili iṣeto nikan, ṣugbọn si ohunkohun ti o le ni awọn aṣẹ irira ninu (fun apẹẹrẹ, ni MySQL eyi le jẹ ṢẸDA TRIGGER tabi ṢẸDA Iṣẹlẹ). Paapaa, maṣe gbagbe nipa .html, .js, .php, .py ati awọn faili gbangba miiran (ti o dara julọ awọn faili wọnyi, bii data miiran, yẹ ki o tun pada lati agbegbe tabi ibi ipamọ igbẹkẹle miiran).

UPD 16/XNUMX/XNUMX: daykkin и egan_mi konge isoro miran: eto naa ni ẹya kan ti Exim ti fi sori ẹrọ ni awọn ibudo, ṣugbọn ni otitọ o nṣiṣẹ miiran.

Nitorina gbogbo eniyan lẹhin imudojuiwọn o yẹ ki o rii daju ti o ti wa ni lilo awọn titun ti ikede!

exim --version

A lẹsẹsẹ jade wọn pato ipo jọ.

Olupin naa lo DirectAdmin ati package da_exim atijọ rẹ (ẹya atijọ, laisi ailagbara).

Ni akoko kanna, pẹlu iranlọwọ ti DirectAdmin's custombuild package manager, ni otitọ, ẹya tuntun ti Exim ti fi sii lẹhinna, eyiti o jẹ ipalara tẹlẹ.

Ni ipo pataki yii, imudojuiwọn nipasẹ custombuild tun ṣe iranlọwọ.

Maṣe gbagbe lati ṣe awọn afẹyinti ṣaaju iru awọn adanwo, ati tun rii daju pe ṣaaju / lẹhin imudojuiwọn gbogbo awọn ilana Exim jẹ ti ẹya atijọ won duro ati ki o ko "di" ni iranti.

orisun: www.habr.com

Fi ọrọìwòye kun