ihor.ru: VDS от 100 р., Серверы, Хостинг, Коло, Стойки в Москве / 9

Здравствуйте. Что у Вас там опять происходит? Все сайты лежат?

Coolmax, здравствуйте, благодарим вас за обращение, глобальных сбоев с ipv6 не было, судя по информации в тикете, причина была в настройках, поправили, теперь тенденция не должна более повторяться :)

partos_1, Здравствуйте, сбоев не наблюдалось, советуем обратиться в техническую поддержку для того, чтобы установить причину проблемы и устранить её.

Выявлена критическая уязвимость в почтовом сервере Exim, которая позволяет выполнить код на сервере с правами root.

Данная уязвимость (CVE-2019-10149) может привести к выполнению кода на сервере с правами root, который осуществляется во время обработки специального запроса. Эксплуатация данной угрозы возможна в версиях с 4.87 по 4.91 включительно или при сборке с опцией EXPERIMENTAL_EVENT.

Для исправления прошлых версий, применяющихся в дистрибутивах, можно использовать патч, доступный по ссылке: https://git.exim.org/exim.git/commit/d740d2111f189760593a303124ff6b9b1f83453d

Обновления для пакетов, поставляющих версию 4.92, в которой не проявляется данная проблема, можно найти по ссылкам:

Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-10149

Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html

Для OpenSUSE: https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149

Для Arch Linux: https://www.archlinux.org/packages/community/x86_64/exim/

Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4

Данный почтовый сервер является самым распространённым, поэтому, скорее всего, он установлен в вашей системе. На данный момент уже появились вирусы, которые эксплуатируют уязвимость. Советуем осуществить проверку на наличие Exim, а также принять меры по защите от данной уязвимости.

Подробнее об особенностях и принципе действия уязвимости можно прочитать по ссылке: http://www.opennet.ru/opennews/art.shtml?num=50819

Что примечательно, после обращения в ТП, похерился весь мой crontab осталось только это:

Я ни на что не намекаю. Но это странно. Второй мой vds пока не словил такой проблемы.

Exim4 я уже обновил. Как мне убедиться, что заразы внутри не осталось?

Coolmax, это не поддержка. Это массовые взломы Linux через уязвимость в Exim.

Срочно лечить и обновлять!

---------- Добавлено 10.06.2019 в 20:20 ----------

Если уязвимость осталась то крон будет перезаписываться регулярно.

Coolmax, если vds уже заражён, одного обновления будет недостаточно, вирус довольно неприятный, поэтому нужно провести процедуру его полного устранения, наши специалисты оказывают данную услугу в рамках платного администрирования. Вы можете обратиться в техническую поддержку, чтобы воспользоваться данной опцией и устранить вирус.

Забавно получить рассылку, даже если на VDSах не стоит никакого MTA (msmtp не в счет, ибо он не является "полноценным" MTA)

С другой стороны, RCE от root'a в *nix не было уже очень давно и желание хостера не разводить в своем парке рассадник зараженных серверов вполне понятно :)

Lanathel, решили распространить информацию об этой уязвимости как можно шире, предупреждён - значит вооружён :)

Как предлагаете определять? Сканировать сотни IP на наличие на одном из портов Exim? Это же очень ресурсозатратно и лишено смысла. Лучше предупредить. Нет Exim на серверах в IHOR? Так может есть на другом, хостер которого не посчитал нужным предупреждать.

Xrumchenko, путь к стилям в шаблоне не http?