在邮件服务器上使用 Exim 版本 4.87...4.91 的同事 - 紧急更新到版本 4.92,之前已停止 Exim 本身以避免通过 CVE-2019-10149 进行黑客攻击。
全球有数百万台服务器可能存在漏洞,该漏洞被评为严重(CVSS 3.0 基本评分 = 9.8/10)。 攻击者可以在您的服务器上运行任意命令,在许多情况下是从 root 运行的。
请确保您使用的是固定版本 (4.92) 或已修补的版本。
或者修补现有的,请参阅线程 .
更新为 CentOS 6的: 厘米。 — 对于 centos 7,如果它还没有直接从 epel 到达,它也可以工作。
UPD:Ubuntu 受到影响 18.04和18.10,已为他们发布了更新。 版本 16.04 和 19.04 不受影响,除非安装了自定义选项。 更多细节 .
现在所描述的问题正在被积极利用(可能是由机器人),我注意到某些服务器(在 4.91 上运行)受到感染。
进一步阅读仅与那些已经“掌握了它”的人相关 - 您需要使用新软件将所有内容传输到干净的 VPS,或者寻找解决方案。 我们要尝试一下吗? 写下是否有人可以克服这个恶意软件。
如果您作为 Exim 用户并阅读本文,但仍未更新(尚未确定 4.92 或修补版本是否可用),请停止并运行更新。
对于那些已经到达那里的人,让我们继续......
UPD: 并给出正确的建议:
恶意软件的种类可能多种多样。 通过为错误的事情推出药物并清理队列,用户将无法被治愈,并且可能不知道他需要接受什么治疗。
感染如下所示:[kthrotlds] 加载处理器; 在较弱的 VDS 上,它是 100%,在服务器上,它较弱,但很明显。
感染后,恶意软件会删除 cron 条目,只在那里注册自己以每 4 分钟运行一次,同时使 crontab 文件不可变。 定时任务 无法保存更改,给出错误。
Immutable可以去掉,例如像这样,然后删除命令行(1.5kb):
chattr -i /var/spool/cron/root
crontab -e
接下来,在 crontab 编辑器 (vim) 中,删除该行并保存:dd
:wq
然而,一些活动进程再次被覆盖,我正在弄清楚。
与此同时,安装程序脚本中的地址上挂着一堆活动的 wget(或curs)(见下文),我现在像这样将它们击倒,但它们又开始了:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
我在这里找到了木马安装程序脚本(centos):/usr/local/bin/nptd...我不发布它是为了避免它,但是如果有人被感染并且了解shell脚本,请仔细研究它。
我会在信息更新时添加。
UPD 1:删除文件(使用初步的 chattr -i)/etc/cron.d/root、/etc/crontab、rm -Rf /var/spool/cron/root 没有帮助,停止服务也没有帮助 - 我不得不crontab 现在完全将其撕掉(重命名 bin 文件)。
UPD 2:木马安装程序有时也位于其他地方,按大小搜索有帮助:
查找/-大小 19825c
UPD 3: 警告! 该木马除了禁用selinux之外,还添加了自己的 SSH 密钥 在 ${sshdir}/authorized_keys 中! 并激活 /etc/ssh/sshd_config 中的以下字段(如果它们尚未设置为 YES):
PermitRootLogin是
RSA 身份验证 是
PubkeyAuthentication是
echo UsePAM 是
密码认证是
UPD 4:现在总结一下:禁用Exim,cron(带root),紧急从ssh中删除木马密钥并编辑sshd配置,重新启动sshd! 目前尚不清楚这是否会有所帮助,但如果没有它就会出现问题。
我将重要信息从有关补丁/更新的评论移到了注释的开头,以便读者从它开始。
UPD 5: 恶意软件更改了 WordPress 中的密码。
UPD 6: ,我们来测试一下! 重新启动或关闭后,药物似乎消失了,但至少现在就是这样。
任何制定(或找到)稳定解决方案的人,请写信,您会帮助很多人。
UPD 7: 他写道:
如果您还没有说过病毒是由于 Exim 中未发送的信件而复活的,那么当您尝试再次发送该信件时,它会恢复,请查看 /var/spool/exim4
您可以像这样清除整个 Exim 队列:
exipick-i| xargs exim -Mrm
检查队列中的条目数:
进出口银行
UPD 8:再次 :首先VDS提供了他们版本的治疗脚本,我们来测试一下!
UPD 9:看起来像 作品谢谢 为了剧本!
最重要的是不要忘记服务器已经受到损害,攻击者可能已经设法植入一些更非典型的令人讨厌的东西(未在滴管中列出)。
因此,最好转移到完全安装的服务器(vds),或者至少继续监视该主题 - 如果有任何新内容,请写在此处的评论中,因为显然不是每个人都会转向全新安装......
UPD 10:再次感谢 :提醒一下,不仅服务器被感染,还有 Raspberry Pi的,以及各种虚拟机...所以保存服务器后,不要忘记保存您的视频控制台、机器人等。
UPD 11:来自 手动治疗师的重要注意事项:
(使用一种或另一种方法对抗该恶意软件后)
你肯定需要重新启动 - 恶意软件位于开放进程中的某个位置,相应地位于内存中,并且每 30 秒向 cron 写入一个新的进程
UPD 12: Exim 的队列中有另一个(?)恶意软件,并建议您在开始治疗之前首先研究您的具体问题。
UPD 13: 相反,转移到一个干净的系统,并非常小心地传输文件,因为该恶意软件已经公开可用,并且可以以其他不太明显且更危险的方式使用。
UPD 14:让自己放心,聪明人不会从根本上逃跑——还有一件事 :
即使它无法从 root 运行,也会发生黑客攻击......我有 debian jessie UPD:在我的 OrangePi 上拉伸,Exim 正在从 Debian-exim 运行,但仍然发生黑客攻击,丢失皇冠等。
UPD 15:当从受感染的服务器转移到干净的服务器时,不要忘记卫生, :
传输数据时,不仅要注意可执行文件或配置文件,还要注意任何可能包含恶意命令的内容(例如,在 MySQL 中,这可能是 CREATE TRIGGER 或 CREATE EVENT)。 另外,不要忘记 .html、.js、.php、.py 和其他公共文件(理想情况下,这些文件与其他数据一样,应该从本地或其他受信任的存储中恢复)。
UPD 16: и :系统在端口中安装了一个版本的 Exim,但实际上它正在运行另一个版本。
所以大家 更新后您应该确保 您正在使用新版本!
exim --version我们一起整理了他们的具体情况。
服务器使用DirectAdmin及其旧的da_exim包(旧版本,无漏洞)。
与此同时,在DirectAdmin的custombuild包管理器的帮助下,事实上,随后安装了较新版本的Exim,该版本已经存在漏洞。
在这种特殊情况下,通过 custombuild 进行更新也有帮助。
不要忘记在进行此类实验之前进行备份,并确保更新之前/之后所有 Exim 进程都是旧版本 而不是“卡在”记忆中。
来源: habr.com