在邮件服务器上使用Exim版本4.87 ... 4.91的同事-紧急升级到4.92版本,之前已停止Exim自身以避免通过CVE-2019-10149进行黑客攻击。
世界各地有数百万台服务器可能受到攻击,该漏洞被评为严重漏洞(CVSS 3.0基本得分= 9.8 / 10)。 攻击者通常可以从根目录在服务器上运行任意命令。
请确保您使用的是固定版本(4.92)或已打补丁。
或修补现有的修补程序,请参见完整的
注释线程 。
centos 6的更新:请参见
Theodor评论 -对于centos 7,如果尚未直接从epel到达,它也可以使用。
UPD:Ubuntu将于
4月18日和18.10受到影响,已经为其发布了更新。 除非在其上安装了自定义选项,否则不会影响版本16.04和19.04。
在其官方网站上有更多详细信息。
Opennet问题信息Exim网站上的信息现在,描述的问题(正在被机器人自动地)被利用,我注意到某些服务器(在4.91上运行)受到感染。
进一步的阅读仅适用于那些已经“被击中”的用户-您必须使用新软件将所有内容传输到干净的VPS,或者寻找解决方案。 我们会尝试吗? 写下是否有人可以克服这个弊端。
如果您作为Exim用户并仍在阅读本文,但仍未更新(您不相信4.92或修补版本的可用性),请停止并运行以进行更新。
对于已经倒下的人-继续
UPD:
supersmile2009发现了另一种恶意软件,并提供了正确的建议:
可能有很多恶意程序。 通过发射药物,使用者将无法治愈,也许不会知道他需要接受什么治疗。
这样的感染很明显:[kthrotlds]加载处理器; 在VDS较弱的情况下100%,在服务器上较弱但很明显。
感染后,该恶意软件会删除牙冠中的条目,仅在启动时每4分钟在牙冠中注册一次,而crontab文件则不可变。
Crontab -e无法保存更改,并引发错误。
可以这样删除不可变,例如,然后删除命令行(1.5kb):
chattr -i /var/spool/cron/root
crontab -e
crontab (vim) :
dd
:wq
- , .
wget' ( curl') (. ), , :
ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`
(centos): /usr/local/bin/nptd… , shell , .
.
UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).
UPD 2: , :
find / -size 19825c
UPD 3:
! selinux
SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes
UPD 4: : exim, cron ( ), ssh sshd, sshd! , .
/ , .
UPD 5:
AnotherDenni WordPress.
UPD 6:
Paulmann , ! , .
( ) , , .
UPD 7:
clsv :
exim, , /var/spool/exim4
exim :
exipick -i | xargs exim -Mrm
:
exim -bpc
UPD 8:
AnotherDenni: FirstVDS , !
UPD 9:
,
!
- ( ) .
(vds), — - , , .. …
UPD 10:
clsv: ,
Raspberry Pi, … , .
UPD 11:
« »:
( )
— - , , , 30
UPD 12:
supersmile2009 exim (?) , .
UPD 13:
lorc , , .. , .
UPD 14: —
clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .
UPD 15: ,
w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).
UPD 16:
daykkin savage_me : exim, .
!
exim --version
.
DirectAdmin da_exim ( , ).
DirectAdmin' custombuild exim, .
custombuild.
, / exim
«» .