Collègues qui utilisent Exim versions 4.87 ... 4.91 sur leurs serveurs de messagerie - effectuez une mise à niveau urgente vers la version 4.92, après avoir précédemment arrêté Exim lui-même pour éviter le piratage via CVE-2019-10149.
Plusieurs millions de serveurs dans le monde sont potentiellement vulnérables, la vulnérabilité est considérée comme critique (score de base CVSS 3.0 = 9.8 / 10). Les attaquants peuvent exécuter des commandes arbitraires sur votre serveur, dans de nombreux cas à partir de la racine.
Veuillez vous assurer que vous utilisez une version fixe (4.92) ou déjà patché.
Ou en patcher un existant, voir le
fil de commentaire immaculé .
Mise à jour pour
centos 6 : voir le
commentaire de Theodor - pour centos 7, cela fonctionne également s'il n'est pas encore arrivé directement d'Epel.
UPD: Ubuntu sont concernés les
18 et 18 avril , une mise à jour a été publiée pour eux. Les versions 16.04 et 19.04 ne sont pas affectées, sauf si des options personnalisées y ont été installées. Plus de détails
sur leur site officiel .
Informations sur le problème d'OpennetInformations sur le site EximMaintenant que le problème décrit est activement exploité (par un bot, probablement), j'ai remarqué une infection sur certains serveurs (fonctionnant sur 4.91).
Une lecture plus approfondie n'est pertinente que pour ceux qui ont déjà "touché" - vous devez soit tout transporter vers un VPS propre avec un nouveau logiciel, soit chercher une solution. Allons-nous essayer? Écrivez si quelqu'un peut surmonter ce malvar.
Si vous, en tant qu'utilisateur Exim et en lisant ceci, n'avez toujours pas mis à jour (vous n'êtes pas convaincu de la disponibilité de 4.92 ou de la version corrigée), veuillez arrêter et exécuter pour mettre à jour.
Pour ceux qui sont déjà tombés - nous continuerons ...
UPD:
supersmile2009 a trouvé un autre type de malware et donne les bons conseils:
Il peut y avoir un grand nombre de programmes malveillants. En lançant le médicament, l'utilisateur ne sera pas guéri et, peut-être, ne saura pas pour quoi il doit être traité.
L'infection est visible comme ceci: [kthrotlds] charge le processeur; sur VDS faible de 100%, sur les serveurs est plus faible mais perceptible.
Après l'infection, le malware supprime les entrées dans les couronnes, s'enregistrant uniquement au démarrage toutes les 4 minutes, tandis que le fichier crontab est immuable.
Crontab -e ne peut pas enregistrer les modifications, génère une erreur.
Immuable peut être supprimé par exemple comme ceci, puis supprimez la ligne de commande (1,5 Ko):
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptd… , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), — - , , .. …
UPD 10:
clsv: ,
Raspberry Pi, … , .
UPD 11:
« »:
( )
— - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: —
clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
«» .