Cybereason 的安全研究人員 郵件伺服器管理員如何辨識大規模自動攻擊利用 (CVE-2019-10149),位於 Exim,上週發現。 在攻擊過程中,攻擊者以root權限執行程式碼,並在伺服器上安裝惡意軟體以挖掘加密貨幣。
據六月報 Exim 的份額為 57.05%(一年前為 56.56%),Postfix 用於 34.52%(33.79%)的郵件伺服器,Sendmail - 4.05%(4.59%),Microsoft Exchange - 0.57%(0.85%)。 經過 Shodan 服務仍然可能容易受到全球網路上超過 3.6 萬台郵件伺服器的攻擊,這些伺服器尚未更新到最新版本的 Exim 4.92。 大約 2 萬台潛在易受攻擊的伺服器位於美國,192 萬台伺服器位於俄羅斯。 經過 RiskIQ公司已經將4.92%的伺服器使用Exim切換到70版本。
建議管理員緊急安裝上週分發包準備的更新(, , , , , )。 如果系統具有易受攻擊的 Exim 版本(從 4.87 到 4.91),您需要透過檢查 crontab 中是否有可疑呼叫並確保 /root/.txt 檔案中沒有其他金鑰來確保系統尚未受到損害。ssh 目錄。 防火牆日誌中存在用於下載惡意軟體的主機 an7kmd2wp4xo7hpr.tor2web.su、an7kmd2wp4xo7hpr.tor2web.io 和 an7kmd2wp4xo7hpr.onion.sh 的活動也可以表明存在攻擊。
首次嘗試攻擊 Exim 伺服器 9 月 13 日。 截至 XNUMX 月 XNUMX 日攻擊 特點。 透過 tor2web 閘道利用漏洞後,會從 Tor 隱藏服務 (an7kmd2wp4xo7hpr) 下載腳本,檢查是否有 OpenSSH(如果不存在) ),更改其設定( root 登入和金鑰身份驗證)並將使用者設定為 root ,它提供透過 SSH 對系統的特權存取。
設定後門後,系統上會安裝連接埠掃描器以識別其他易受攻擊的伺服器。 該系統還會搜尋現有的採礦系統,如果發現則將其刪除。 在最後階段,您自己的礦工被下載並在 crontab 中註冊。 該礦工以 ico 檔案的形式下載(實際上它是一個密碼為「no-password」的 zip 檔案),其中包含適用於 Glibc 2.7+ 的 Linux 的 ELF 格式的可執行檔。
來源: opennet.ru