Awọn ẹlẹgbẹ ti o lo awọn ẹya Exim 4.87… 4.91 lori awọn olupin meeli wọn - ṣe imudojuiwọn ni iyara si ẹya 4.92, ti kọkọ duro Exim funrararẹ lati yago fun gige nipasẹ CVE-2019-10149.
Ọpọlọpọ awọn olupin miliọnu ni ayika agbaye ni o le jẹ ipalara, ailagbara naa jẹ iwọn pataki (Dimegili ipilẹ CVSS 3.0 = 9.8/10). Awọn ikọlu le ṣiṣe awọn aṣẹ lainidii lori olupin rẹ, ni ọpọlọpọ igba lati gbongbo.
Jọwọ rii daju pe o nlo ẹya ti o wa titi (4.92) tabi ọkan ti o ti pamọ tẹlẹ.
Tabi alemo eyi ti o wa tẹlẹ, wo okun
Imudojuiwọn fun ọgọ 6: cm.
UPD: Ubuntu kan 18.04 ati 18.10, imudojuiwọn kan ti tu silẹ fun wọn. Awọn ẹya 16.04 ati 19.04 ko ni kan ayafi ti awọn aṣayan aṣa ti fi sori wọn. Awọn alaye diẹ sii
Bayi iṣoro ti a ṣalaye nibẹ ti wa ni ilokulo (nipasẹ bot, aigbekele), Mo ṣe akiyesi ikolu kan lori diẹ ninu awọn olupin (nṣiṣẹ lori 4.91).
Kika siwaju jẹ pataki nikan fun awọn ti o ti “gba tẹlẹ” - o nilo lati gbe ohun gbogbo lọ si VPS mimọ pẹlu sọfitiwia tuntun, tabi wa ojutu kan. Ṣe a gbiyanju? Kọ ti ẹnikẹni ba le bori malware yii.
Ti o ba jẹ oluṣe Exim ati kika eyi, ko tii imudojuiwọn (ko rii daju pe 4.92 tabi ẹya patched wa), jọwọ duro ati ṣiṣe lati ṣe imudojuiwọn.
Fun awọn ti o ti de ibẹ tẹlẹ, jẹ ki a tẹsiwaju…
Imudojuiwọn:
Orisirisi malware le wa. Nipa ifilọlẹ oogun naa fun ohun ti ko tọ ati yiyọ ti isinyi, olumulo ko ni larada ati pe o le ma mọ ohun ti o nilo lati ṣe itọju fun.
Ikolu jẹ akiyesi bi eleyi: [kthrotlds] fifuye ero isise; lori VDS alailagbara o jẹ 100%, lori awọn olupin o jẹ alailagbara ṣugbọn akiyesi.
Lẹhin ikolu, malware npa awọn titẹ sii cron kuro, fiforukọṣilẹ funrararẹ nibẹ lati ṣiṣẹ ni gbogbo iṣẹju 4, lakoko ti o jẹ ki faili crontab jẹ ailagbara. Crontab -e ko le fi awọn ayipada, yoo fun aṣiṣe.
Aileyipada le yọkuro, fun apẹẹrẹ, bii eyi, ati lẹhinna paarẹ laini aṣẹ (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
Nigbamii, ninu olootu crontab (vim), paarẹ laini naa ki o fipamọ:dd
:wq
Sibẹsibẹ, diẹ ninu awọn ilana ti nṣiṣe lọwọ tun tun kọwe si, Mo n ṣaroye rẹ.
Ni akoko kanna, ọpọlọpọ awọn wgets ti nṣiṣe lọwọ (tabi awọn curls) wa ti o wa lori awọn adirẹsi lati iwe afọwọkọ insitola (wo isalẹ), Mo n lu wọn mọlẹ bi eyi fun bayi, ṣugbọn wọn tun bẹrẹ:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
Mo rii iwe afọwọkọ insitola Tirojanu nibi (centos): /usr/agbegbe/bin/nptd... Emi ko firanṣẹ lati yago fun, ṣugbọn ti ẹnikan ba ni akoran ti o loye awọn iwe afọwọkọ ikarahun, jọwọ kawe ni pẹkipẹki.
Emi yoo ṣafikun bi alaye ti ni imudojuiwọn.
UPD 1: piparẹ awọn faili (pẹlu chattr alakoko -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root ko ṣe iranlọwọ, bẹni ko da iṣẹ naa duro - Mo ni lati crontab patapata fun bayi ya jade (fun lorukọ faili bin).
UPD 2: Insitola Tirojanu tun n dubulẹ ni awọn aaye miiran nigbakan, wiwa nipasẹ iwọn ṣe iranlọwọ:
ri / -iwọn 19825c
UPD 3/XNUMX/XNUMX: Išọra Ni afikun si piparẹ selinux, Tirojanu tun ṣafikun tirẹ SSH bọtini ni ${sshdir}/awọn bọtini_authorized_keys! Ati mu awọn aaye wọnyi ṣiṣẹ ni /etc/ssh/sshd_config, ti wọn ko ba ti ṣeto tẹlẹ si BẸẸNI:
PermitRootLogin bẹẹni
Ijeri RSAA bẹẹni
Ijẹrisi Pubkey bẹẹni
iwoyi UsePAM bẹẹni
Ọrọigbaniwọle Ijeri bẹẹni
UPD 4: Lati ṣe akopọ fun bayi: mu Exim, cron (pẹlu awọn gbongbo), yọ Tirojanu kuro ni kiakia lati ssh ki o ṣatunkọ atunto sshd, tun sshd bẹrẹ! Ati pe ko sibẹsibẹ han pe eyi yoo ṣe iranlọwọ, ṣugbọn laisi rẹ iṣoro kan wa.
Mo ti gbe alaye pataki lati awọn asọye nipa awọn abulẹ / awọn imudojuiwọn si ibẹrẹ ti akọsilẹ, ki awọn onkawe bẹrẹ pẹlu rẹ.
UPD 5/XNUMX/XNUMX:
UPD 6/XNUMX/XNUMX:
Ẹnikẹni ti o ba ṣe (tabi ri) ojutu iduroṣinṣin, jọwọ kọ, iwọ yoo ṣe iranlọwọ fun ọpọlọpọ.
UPD 7/XNUMX/XNUMX:
Ti o ko ba ti sọ tẹlẹ pe ọlọjẹ naa ti jinde ọpẹ si lẹta ti a ko firanṣẹ ni Exim, nigbati o ba gbiyanju lati fi lẹta ranṣẹ lẹẹkansi, o ti tun pada, wo inu /var/spool/exim4
O le ko gbogbo isinyi Exim kuro bi eleyi:
exipick -i | xargs exim -Mrm
Ṣiṣayẹwo nọmba awọn titẹ sii ninu isinyi:
exim -bpc
UPD 8: Lẹẹkansi
UPD 9: O dabi Iwọn didun, o ṣeun
Ohun akọkọ kii ṣe lati gbagbe pe olupin naa ti ni adehun tẹlẹ ati pe awọn ikọlu le ti ṣakoso lati gbin diẹ ninu awọn ohun ẹgbin diẹ sii (kii ṣe atokọ ni dropper).
Nitorinaa, o dara lati gbe si olupin ti a ti fi sori ẹrọ patapata (vds), tabi o kere tẹsiwaju lati ṣe atẹle koko-ọrọ - ti ohunkohun tuntun ba wa, kọ ninu awọn asọye nibi, nitori O han ni kii ṣe gbogbo eniyan yoo gbe si fifi sori tuntun kan…
UPD 10: O ṣeun lẹẹkansi
UPD 11: Lati
(lẹhin lilo ọkan tabi ọna miiran ti ija malware yii)
O dajudaju o nilo lati tun bẹrẹ - malware joko ni ibikan ni awọn ilana ṣiṣi ati, ni ibamu, ni iranti, o kọ ararẹ tuntun kan si cron ni gbogbo iṣẹju-aaya 30
UPD 12/XNUMX/XNUMX:
UPD 13/XNUMX/XNUMX:
UPD 14: ni idaniloju ara wa pe awọn eniyan ọlọgbọn ko ṣiṣe lati gbongbo - ohun kan diẹ sii
Paapa ti o ko ba ṣiṣẹ lati labẹ root, sakasaka waye ... Mo ni debian jessie UPD: na lori OrangePi mi, Exim nṣiṣẹ lati Debian-exim ati ki o si tun sakasaka sele, sọnu crowns, ati be be lo.
UPD 15: nigbati o ba nlọ si olupin mimọ lati ọkan ti o ni ipalara, maṣe gbagbe nipa imototo,
Nigbati o ba n gbe data lọ, ṣe akiyesi kii ṣe si ṣiṣe tabi awọn faili iṣeto nikan, ṣugbọn si ohunkohun ti o le ni awọn aṣẹ irira ninu (fun apẹẹrẹ, ni MySQL eyi le jẹ ṢẸDA TRIGGER tabi ṢẸDA Iṣẹlẹ). Paapaa, maṣe gbagbe nipa .html, .js, .php, .py ati awọn faili gbangba miiran (ti o dara julọ awọn faili wọnyi, bii data miiran, yẹ ki o tun pada lati agbegbe tabi ibi ipamọ igbẹkẹle miiran).
UPD 16/XNUMX/XNUMX:
Nitorina gbogbo eniyan lẹhin imudojuiwọn o yẹ ki o rii daju ti o ti wa ni lilo awọn titun ti ikede!
exim --version
A lẹsẹsẹ jade wọn pato ipo jọ.
Olupin naa lo DirectAdmin ati package da_exim atijọ rẹ (ẹya atijọ, laisi ailagbara).
Ni akoko kanna, pẹlu iranlọwọ ti DirectAdmin's custombuild package manager, ni otitọ, ẹya tuntun ti Exim ti fi sii lẹhinna, eyiti o jẹ ipalara tẹlẹ.
Ni ipo pataki yii, imudojuiwọn nipasẹ custombuild tun ṣe iranlọwọ.
Maṣe gbagbe lati ṣe awọn afẹyinti ṣaaju iru awọn adanwo, ati tun rii daju pe ṣaaju / lẹhin imudojuiwọn gbogbo awọn ilana Exim jẹ ti ẹya atijọ
orisun: www.habr.com