Geekly articles weekly

紧急将Exim升级到4.92-存在主动感染

在邮件服务器上使用Exim版本4.87 ... 4.91的同事-紧急升级到4.92版本,之前已停止Exim自身以避免通过CVE-2019-10149进行黑客攻击。

世界各地有数百万台服务器可能受到攻击,该漏洞被评为严重漏洞(CVSS 3.0基本得分= 9.8 / 10)。 攻击者通常可以从根目录在服务器上运行任意命令。

请确保您使用的是固定版本(4.92)或已打补丁。
或修补现有的修补程序,请参见完整的注释线程

centos 6的更新:请参见Theodor评论 -对于centos 7,如果尚未直接从epel到达,它也可以使用。

UPD:Ubuntu将于4月18日和18.10受到影响,已经为其发布了更新。 除非在其上安装了自定义选项,否则不会影响版本16.04和19.04。 在其官方网站上有更多详细信息。

Opennet问题信息
Exim网站上的信息

现在,描述的问题(正在被机器人自动地)被利用,我注意到某些服务器(在4.91上运行)受到感染。

进一步的阅读仅适用于那些已经“被击中”的用户-您必须使用新软件将所有内容传输到干净的VPS,或者寻找解决方案。 我们会尝试吗? 写下是否有人可以克服这个弊端。

如果您作为Exim用户并仍在阅读本文,但仍未更新(您不相信4.92或修补版本的可用性),请停止并运行以进行更新。

对于已经倒下的人-继续

UPD: supersmile2009发现了另一种恶意软件,并提供了正确的建议:
可能有很多恶意程序。 通过发射药物,使用者将无法治愈,也许不会知道他需要接受什么治疗。


这样的感染很明显:[kthrotlds]加载处理器; 在VDS较弱的情况下100%,在服务器上较弱但很明显。

感染后,该恶意软件会删除牙冠中的条目,仅在启动时每4分钟在牙冠中注册一次,而crontab文件则不可变。 Crontab -e无法保存更改,并引发错误。

可以这样删除不可变,例如,然后删除命令行(1.5kb):
chattr -i /var/spool/cron/root
crontab -e

crontab (vim) :dd
:wq

- , .

wget' ( curl') (. ), , :

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`


(centos): /usr/local/bin/nptd… , shell , .

.

UPD 1: ( chattr -i) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root , — (bin- ).

UPD 2: , :
find / -size 19825c

UPD 3: ! selinux SSH- ${sshdir}/authorized_keys! /etc/ssh/sshd_config, YES:
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
echo UsePAM yes
PasswordAuthentication yes

UPD 4: : exim, cron ( ), ssh sshd, sshd! , .

/ , .

UPD 5: AnotherDenni WordPress.

UPD 6: Paulmann , ! , .

( ) , , .

UPD 7: clsv :
exim, , /var/spool/exim4

exim :
exipick -i | xargs exim -Mrm
:
exim -bpc

UPD 8: AnotherDenni: FirstVDS , !

UPD 9: , !

- ( ) .

(vds), — - , , .. …

UPD 10: clsv: , Raspberry Pi, … , .

UPD 11: « »:
( )
— - , , , 30

UPD 12: supersmile2009 exim (?) , .

UPD 13: lorc , , .. , .

UPD 14: — clsv:
… OrangePi debian jessie UPD: stretch, exim Debian-exim , .

UPD 15: , w0den:
, (, MySQL CREATE TRIGGER CREATE EVENT). , .html, .js, .php, .py ( , , ).

UPD 16: daykkin savage_me : exim, .

!
exim --version
.

DirectAdmin da_exim ( , ).

DirectAdmin' custombuild exim, .

custombuild.

, / exim «» .

Source: https://habr.com/ru/post/zh-CN455598/

More articles:


All Articles