Cybereason 的安全研究人员 邮件服务器管理员如何识别大规模自动攻击利用 (CVE-2019-10149),位于 Exim,上周发现。 在攻击过程中,攻击者以root权限执行代码,并在服务器上安装恶意软件以挖掘加密货币。
据六月报 Exim 的份额为 57.05%(一年前为 56.56%),Postfix 用于 34.52%(33.79%)的邮件服务器,Sendmail - 4.05%(4.59%),Microsoft Exchange - 0.57%(0.85%)。 经过 Shodan 服务仍然可能容易受到全球网络上超过 3.6 万台邮件服务器的攻击,这些服务器尚未更新到最新版本的 Exim 4.92。 大约 2 万台潜在易受攻击的服务器位于美国,192 万台服务器位于俄罗斯。 经过 RiskIQ公司已经将4.92%的服务器使用Exim切换到70版本。
建议管理员紧急安装上周分发包准备的更新(, , , , , )。 如果系统具有易受攻击的 Exim 版本(从 4.87 到 4.91),您需要通过检查 crontab 中是否有可疑调用并确保 /root/.txt 文件中没有其他密钥来确保系统尚未受到损害。 ssh 目录。 防火墙日志中存在用于下载恶意软件的主机 an7kmd2wp4xo7hpr.tor2web.su、an7kmd2wp4xo7hpr.tor2web.io 和 an7kmd2wp4xo7hpr.onion.sh 的活动也可以表明存在攻击。
首次尝试攻击 Exim 服务器 9 月 13 日。 截至 XNUMX 月 XNUMX 日袭击 特点。 通过 tor2web 网关利用该漏洞后,会从 Tor 隐藏服务 (an7kmd2wp4xo7hpr) 下载脚本,检查是否存在 OpenSSH(如果不存在) ),更改其设置( root 登录和密钥身份验证)并将用户设置为 root ,它提供通过 SSH 对系统的特权访问。
设置后门后,系统上会安装端口扫描器以识别其他易受攻击的服务器。 该系统还会搜索现有的采矿系统,如果发现则将其删除。 在最后阶段,您自己的矿工被下载并在 crontab 中注册。 该挖矿程序以 ico 文件的形式下载(实际上它是一个密码为“no-password”的 zip 存档),其中包含适用于 Glibc 2.7+ 的 Linux 的 ELF 格式的可执行文件。
来源: opennet.ru