Colegas que usan las versiones de Exim 4.87 ... 4.91 en sus servidores de correo - actualicen urgentemente a la versión 4.92, habiendo detenido previamente a Exim para evitar piratear CVE-2019-10149.
Varios millones de servidores en todo el mundo son potencialmente vulnerables, la vulnerabilidad se clasifica como crítica (puntuación base CVSS 3.0 = 9.8 / 10). Los atacantes pueden ejecutar comandos arbitrarios en su servidor, en muchos casos desde la raíz.
Asegúrese de estar utilizando una versión fija (4.92) o ya parcheada.
O parchear uno existente, ver el
hilo de comentarios inmaculado .
Actualización para
centos 6 : vea el
comentario de Theodor : para centos 7 también funciona si aún no ha llegado directamente de epel.
UPD: Ubuntu se ve afectado el
18 y 18 de abril , se ha publicado una actualización para ellos. Las versiones 16.04 y 19.04 no se ven afectadas, a menos que se hayan instalado opciones personalizadas en ellas. Más detalles
en su sitio web oficial .
Información del problema de OpennetInformación en el sitio web de EximAhora que el problema descrito allí está siendo explotado activamente (por un bot, presumiblemente), noté una infección en algunos servidores (que se ejecuta en 4.91).
La lectura adicional es relevante solo para aquellos que ya han "acertado": debe transportar todo a un VPS limpio con un software nuevo o buscar una solución. ¿Lo intentaremos? Escribe si alguien puede superar este malvar.
Si, como usuario de Exim y leyendo esto, aún no ha actualizado (no está convencido de la disponibilidad de 4.92 o la versión parcheada), deténgase y ejecute para actualizar.
Para aquellos que ya han caído, continuaremos ...
UPD:
supersmile2009 encontró un tipo diferente de malware y da el consejo correcto:
Puede haber una gran cantidad de programas maliciosos. Al lanzar el medicamento, el usuario no se curará y es posible que no sepa para qué necesita tratamiento.
La infección se nota así: [kthrotlds] carga el procesador; en VDS débil en un 100%, en servidores es más débil pero notable.
Después de la infección, el malware elimina las entradas en las coronas, registrándose solo allí en el inicio cada 4 minutos, mientras que el archivo crontab se vuelve inmutable.
Crontab -e no puede guardar los cambios, arroja un error.
Inmutable se puede eliminar, por ejemplo, de esta manera, y luego eliminar la línea de comando (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptd… , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), — - , , .. …
UPD 10:
clsv: ,
Raspberry Pi, … , .
UPD 11:
« »:
( )
— - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: —
clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
«» .