Kollegen, die Exim-Versionen 4.87 ... 4.91 auf ihren Mailservern verwenden, müssen dringend auf Version 4.92 aktualisieren, nachdem sie Exim zuvor selbst gestoppt haben, um ein Hacken durch CVE-2019-10149 zu vermeiden.
Mehrere Millionen Server auf der ganzen Welt sind potenziell anfällig. Die Sicherheitsanfälligkeit wird als kritisch eingestuft (CVSS 3.0-Basisbewertung = 9,8 / 10). Angreifer können beliebige Befehle auf Ihrem Server ausführen, in vielen Fällen vom Stamm aus.
Bitte stellen Sie sicher, dass Sie eine feste Version (4.92) verwenden oder bereits gepatcht sind.
Oder patchen Sie einen vorhandenen, siehe den
makellosen Kommentarthread .
Update für
Centos 6 : siehe
Theodor-Kommentar - für Centos 7 funktioniert es auch, wenn es noch nicht direkt von Epel eingetroffen ist.
UPD: Ubuntu sind am
18. und 18. April betroffen, ein Update wurde für sie veröffentlicht. Die Versionen 16.04 und 19.04 sind nicht betroffen, es sei denn, auf ihnen wurden benutzerdefinierte Optionen installiert. Weitere Details
auf ihrer offiziellen Website .
Opennet-ProbleminformationenInformationen auf der Exim-WebsiteJetzt, da das dort beschriebene Problem aktiv ausgenutzt wird (vermutlich von einem Bot), habe ich auf einigen Servern eine Infektion festgestellt (läuft auf 4.91).
Weiterführende Literatur ist nur für diejenigen relevant, die bereits "getroffen" haben - Sie müssen entweder alles mit frischer Software zu einem sauberen VPS transportieren oder nach einer Lösung suchen. Werden wir es versuchen? Schreiben Sie, ob jemand diese Malvar überwinden kann.
Wenn Sie als Exim-Benutzer noch nicht aktualisiert haben (Sie sind nicht von der Verfügbarkeit von 4.92 oder der gepatchten Version überzeugt), halten Sie an und führen Sie die Aktualisierung aus.
Für diejenigen, die bereits gefallen sind - wir werden weitermachen ...
UPD:
supersmile2009 hat eine andere Art von Malware gefunden und gibt den richtigen Rat:
Es kann sehr viele Schadprogramme geben. Durch das Starten des Arzneimittels wird der Benutzer nicht geheilt und weiß möglicherweise nicht, wofür er behandelt werden muss.
Die Infektion macht sich folgendermaßen bemerkbar: [kthrotlds] lädt den Prozessor; auf schwachem VDS um 100%, auf Servern ist schwächer, aber spürbar.
Nach der Infektion löscht die Malware Einträge in den Kronen und registriert sich nur dort beim Start alle 4 Minuten, während die Crontab-Datei unveränderlich wird.
Crontab -e kann die Änderungen nicht speichern und gibt einen Fehler aus.
Unveränderlich kann zum Beispiel so entfernt werden und dann die Kommandozeile (1,5kb) löschen:
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptd… , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), — - , , .. …
UPD 10:
clsv: ,
Raspberry Pi, … , .
UPD 11:
« »:
( )
— - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: —
clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
«» .