Kolega yang menggunakan Exim versi 4.87 ... 4.91 di server surat mereka - segera ditingkatkan ke versi 4.92, setelah sebelumnya menghentikan Exim sendiri untuk menghindari peretasan melalui CVE-2019-10149.
Beberapa juta server di seluruh dunia berpotensi rentan, kerentanannya dinilai kritis (skor dasar CVSS 3.0 = 9,8 / 10). Penyerang dapat menjalankan perintah sewenang-wenang di server Anda, dalam banyak kasus dari root.
Pastikan Anda menggunakan versi tetap (4.92) atau sudah ditambal.
Atau tambal yang sudah ada, lihat
utas komentar tak bernoda .
Pembaruan untuk
centos 6 : lihat
komentar Theodor - untuk centos 7 juga berfungsi jika belum tiba langsung dari epel.
UPD: Ubuntu terpengaruh pada
18 April dan 18.10 , pembaruan telah dirilis untuk mereka. Versi 16.04 dan 19.04 tidak terpengaruh, kecuali opsi khusus diinstal pada mereka. Lebih detail
di situs web resmi mereka .
Informasi Masalah OpennetInformasi di situs web EximSekarang masalah yang dijelaskan di sana sedang dieksploitasi secara aktif (oleh bot, mungkin), saya perhatikan adanya infeksi pada beberapa server (berjalan pada 4.91).
Bacaan lebih lanjut hanya relevan bagi mereka yang sudah "memukul" - Anda harus mengangkut semuanya ke VPS bersih dengan perangkat lunak baru, atau mencari solusi. Akankah kita mencoba? Tulis jika seseorang dapat mengatasi malvar ini.
Jika Anda, sebagai pengguna Exim dan membaca ini, masih belum memperbarui (Anda tidak yakin dengan ketersediaan 4,92 atau versi yang ditambal), silakan berhenti dan jalankan untuk memperbarui.
Bagi yang sudah jatuh - kami akan melanjutkan ...
UPD:
supersmile2009 menemukan berbagai jenis malware dan memberikan saran yang tepat:
Mungkin ada banyak sekali program jahat. Dengan meluncurkan obat, pengguna tidak akan disembuhkan dan, mungkin, tidak akan tahu untuk apa ia harus dirawat.
Infeksinya terlihat seperti ini: [kthrotlds] memuat prosesor; pada VDS lemah 100%, pada server lebih lemah tetapi nyata.
Setelah infeksi, malware menghapus entri di mahkota, hanya mendaftar di startup setiap 4 menit, sementara file crontab membuat tidak berubah.
Crontab -e tidak dapat menyimpan perubahan, membuat kesalahan.
Tidak dapat diubah dapat dihapus misalnya seperti ini, dan kemudian menghapus baris perintah (1.5kb):
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptdโฆ , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , โ (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), โ - , , .. โฆ
UPD 10:
clsv: ,
Raspberry Pi, โฆ , .
UPD 11:
ยซ ยป:
( )
โ - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: โ
clsv:
โฆ OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
ยซยป .