在郵件伺服器上使用 Exim 版本 4.87...4.91 的同事 - 緊急更新至版本 4.92,先前已停止 Exim 本身以避免透過 CVE-2019-10149 進行駭客攻擊。
全球有數百萬台伺服器可能存在漏洞,該漏洞被評為嚴重(CVSS 3.0 基本評分 = 9.8/10)。 攻擊者可以在您的伺服器上執行任意命令,在許多情況下是從 root 運行的。
請確保您使用的是固定版本 (4.92) 或已修補的版本。
或修補現有的,請參閱線程 .
更新為 CentOS 6的: 厘米。 — 對於 centos 7,如果它還沒有直接從 epel 到達,它也可以工作。
UPD:Ubuntu 受到影響 18.04和18.10,已為他們發布了更新。 版本 16.04 和 19.04 不受影響,除非安裝了自訂選項。 更多細節 .
現在所描述的問題正在被積極利用(可能是由機器人),我注意到某些伺服器(在 4.91 上運行)受到感染。
進一步閱讀僅與那些已經「掌握了它」的人相關 - 您需要使用新軟體將所有內容傳輸到乾淨的 VPS,或尋找解決方案。 我們要嘗試嗎? 寫下是否有人可以克服這個惡意軟體。
如果您作為 Exim 使用者並閱讀本文,但仍未更新(尚未確定 4.92 或修補版本是否可用),請停止並執行更新。
對於那些已經到達那裡的人,讓我們繼續......
UPD: 並給予正確的建議:
惡意軟體的種類可能多種多樣。 透過為錯誤的事情推出藥物並清理隊列,用戶將無法被治愈,並且可能不知道他需要接受什麼治療。
感染如下所示:[kthrotlds] 載入處理器; 在較弱的 VDS 上,它是 100%,在伺服器上,它較弱,但很明顯。
感染後,惡意軟體會刪除 cron 條目,只在那裡註冊自己以每 4 分鐘運行一次,同時使 crontab 檔案不可變。 定時任務 無法儲存更改,給出錯誤。
Immutable可以去掉,例如像這樣,然後刪除命令列(1.5kb):
chattr -i /var/spool/cron/root
crontab -e
接下來,在 crontab 編輯器 (vim) 中,刪除該行並儲存:dd
:wq
然而,一些活動進程再次被覆蓋,我正在弄清楚。
同時,安裝程式腳本中的地址上掛著一堆活動的 wget(或curs)(見下文),我現在像這樣將它們擊倒,但它們又開始了:
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
我在這裡找到了木馬安裝程式腳本(centos):/usr/local/bin/nptd...我不會發布它以避免它,但是如果有人被感染並且了解shell腳本,請仔細研究它。
我會在資訊更新時添加。
UPD 1:刪除檔案(使用初步的 chattr -i)/etc/cron.d/root、/etc/crontab、rm -Rf /var/spool/cron/root 沒有幫助,停止服務也沒有幫助 - 我不得不crontab 現在完全將其撕掉(重命名bin 檔案)。
UPD 2:木馬安裝程式有時也位於其他地方,以大小搜尋有幫助:
尋找/-大小 19825c
更新3: 警告! 該木馬除了禁用selinux之外,還添加了自己的 SSH 金鑰 在 ${sshdir}/authorized_keys 中! 並啟動 /etc/ssh/sshd_config 中的以下欄位(如果它們尚未設定為 YES):
PermitRootLogin是
RSA 驗證 是
PubkeyAuthentication是
echo UsePAM 是
密碼認證是
UPD 4:現在總結一下:停用Exim,cron(帶root),緊急從ssh中刪除木馬金鑰並編輯sshd配置,重新啟動sshd! 目前尚不清楚這是否會有所幫助,但如果沒有它就會出現問題。
我將重要資訊從有關補丁/更新的評論移到了註釋的開頭,以便讀者從它開始。
更新5: 惡意軟體更改了 WordPress 中的密碼。
更新6: ,我們來測試一下! 重新啟動或關閉後,藥物似乎消失了,但至少現在是這樣。
任何制定(或找到)穩定解決方案的人,請寫信,您會幫助很多人。
更新7: 寫道:
如果您還沒有說過病毒是由於 Exim 中未發送的信件而復活的,那麼當您嘗試再次發送該信件時,它會恢復,請查看 /var/spool/exim4
您可以像這樣清除整個 Exim 佇列:
exipick-i| xargs exim -Mrm
檢查佇列中的條目數:
進出口銀行
UPD 8:再 :首先VDS提供了他們版本的治療腳本,我們來測試一下!
UPD 9:看起來像 作品, 謝謝 為了劇本!
最重要的是不要忘記伺服器已經受到損害,攻擊者可能已經設法植入一些更非典型的令人討厭的東西(未在滴管中列出)。
因此,最好轉移到完全安裝的伺服器(vds),或至少繼續監視該主題 - 如果有任何新內容,請寫在此處的評論中,因為顯然不是每個人都會轉向全新安裝...
UPD 10:再次感謝 :提醒一下,不僅伺服器被感染,還有 樹莓派,以及各種虛擬機器...所以儲存伺服器後,不要忘記儲存您的視訊控制台、機器人等。
UPD 11:來自 手動治療師的重要注意事項:
(使用一種或另一種方法對抗該惡意軟體後)
你肯定需要重新啟動 - 惡意軟體位於開放進程中的某個位置,相應地位於記憶體中,並且每 30 秒向 cron 寫入一個新的進程
更新12: Exim 的隊列中有另一個(?)惡意軟體,並建議您在開始治療之前先研究您的特定問題。
更新13: 相反,轉移到一個乾淨的系統,並非常小心地傳輸文件,因為該惡意軟體已經公開可用,並且可以以其他不太明顯且更危險的方式使用。
UPD 14:讓自己放心,聰明人不會從根本上逃跑──還有一件事 :
即使它無法從 root 運行,也會發生黑客攻擊......我有 debian jessie UPD:在我的 OrangePi 上拉伸,Exim 正在從 Debian-exim 運行,但仍然發生黑客攻擊,丟失皇冠等。
UPD 15:當從受感染的伺服器轉移到乾淨的伺服器時,不要忘記衛生, :
傳輸資料時,不僅要注意可執行檔或設定文件,還要注意任何可能包含惡意命令的內容(例如,在 MySQL 中,這可能是 CREATE TRIGGER 或 CREATE EVENT)。 另外,不要忘記 .html、.js、.php、.py 和其他公共檔案(理想情況下,這些檔案與其他資料一樣,應該從本地或其他受信任的儲存中恢復)。
更新16: и :系統在連接埠中安裝了一個版本的 Exim,但實際上它正在運行另一個版本。
所以大家 更新後您應該確保 您正在使用新版本!
exim --version我們一起整理了他們的具體情況。
伺服器使用DirectAdmin及其舊的da_exim套件(舊版本,無漏洞)。
同時,在DirectAdmin的custombuild套件管理器的幫助下,事實上,隨後安裝了較新版本的Exim,該版本已經存在漏洞。
在這種特殊情況下,透過 custombuild 進行更新也有幫助。
不要忘記在進行此類實驗之前進行備份,並確保更新之前/之後所有 Exim 進程都是舊版本 而不是「卡在」記憶中。
來源: www.habr.com