Colegas que usam as versões 4.87 do Exim 4.87 ... 4.91 em seus servidores de correio - atualizem urgentemente para a versão 4.92, parando anteriormente o próprio Exim para evitar hackers através do CVE-2019-10149.
Vários milhões de servidores em todo o mundo são potencialmente vulneráveis, a vulnerabilidade é classificada como crítica (pontuação básica do CVSS 3.0 = 9.8 / 10). Os invasores podem executar comandos arbitrários no seu servidor, em muitos casos a partir da raiz.
Verifique se você está usando uma versão fixa (4.92) ou se já está corrigido.
Ou faça um patch de um já existente, consulte o
tópico de comentários imaculado .
Atualização para o
centos 6 : veja o
comentário de Theodor - para o centos 7 também funciona se ainda não chegou diretamente da epel.
UPD: Ubuntu são afetados nos
dias 18 e 18 de abril , uma atualização foi lançada para eles. As versões 16.04 e 19.04 não são afetadas, a menos que opções personalizadas estejam instaladas nelas. Mais detalhes
em seu site oficial .
Informações sobre o problema do OpennetInformações no site da EximAgora, o problema descrito está sendo explorado ativamente (por um bot, presumivelmente), notei infecção em alguns servidores (rodando em 4.91).
Leituras adicionais são relevantes apenas para aqueles que já "bateram" - você deve transportar tudo para um VPS limpo com software novo ou procurar uma solução. Vamos tentar? Escreva se alguém puder superar esse malvar.
Se você, como usuário do Exim e lendo isso, ainda não atualizou (não está convencido da disponibilidade do 4.92 ou da versão corrigida), pare e execute a atualização.
Para quem já caiu - continuaremos ...
UPD:
supersmile2009 encontrou um tipo diferente de malware e dá o conselho certo:
Pode haver muitos programas maliciosos. Ao lançar o medicamento, o usuário não será curado e, talvez, não saiba para que precisa ser tratado.
A infecção é perceptível assim: [kthrotlds] carrega o processador; no VDS fraco em 100%, nos servidores é mais fraco, mas perceptível.
Após a infecção, o malware exclui entradas nas coroas, registrando apenas lá na inicialização a cada 4 minutos, enquanto o arquivo crontab se torna imutável.
O Crontab -e não pode salvar as alterações, gera um erro.
Imutável pode ser removido, por exemplo, como este e exclua a linha de comando (1,5kb):
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptd… , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), — - , , .. …
UPD 10:
clsv: ,
Raspberry Pi, … , .
UPD 11:
« »:
( )
— - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: —
clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
«» .