Уязвимость очень высокого уровня в exim

12 3
suffix
На сайте с 26.08.2010
Online
256
2994

Информация здесь:

https://www.openwall.com/lists/oss-security/2019/06/06/1

В 4.92 уязвимости нет - так что всем обновиться надо !

Клуб любителей хрюш (https://www.babai.ru)
G-and-Y
На сайте с 29.06.2013
Offline
151
#1

А можно как нибуть закрыть доступ из вне для exim?

---------- Добавлено 10.06.2019 в 14:44 ----------

Что б письма отправлялись, но внешние атаки запросы блокировались, закрыть порты в иптаблес поможет?

Абузо-устойчивые впс в Нидерландах от 5$/мес (https://cp.inferno.name/aff.php?aff=2991)
D
На сайте с 28.06.2008
Offline
969
#2

Сделал по инструкции из письма - как была версия 4.89 так и осталась. Дебиан.

WapGraf
На сайте с 30.09.2009
Offline
451
#3

Dram, да потому что многие постят дабы постить. Даже рассылки делают с дезинформацией.

https://security-tracker.debian.org/tracker/CVE-2019-10149

EuroHoster.org ( https://eurohoster.org/link.php?id=42 ) - территория быстрых серверов. Intel Xeon E-2278G (8 ядер, 16 потоков, 3.40 GHz, 5.00GHz Turbo) Поддержим ваш бизнес - 40% скидка на VPS ( https://eurohoster.org/index.php?rp=/announcements/321/Поддержим-ваш-бизнес.html )
foxi
На сайте с 02.03.2011
Offline
871
#4

Обновился на 4.89-2+deb9u4 на 9 дебиане с вестой.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
AH
На сайте с 15.03.2015
Offline
32
#5
WapGraf:
Dram, да потому что многие постят дабы постить. Даже рассылки делают с дезинформацией.
https://security-tracker.debian.org/tracker/CVE-2019-10149

ребята, а как чистили после взлома? Замечали уже взломы?

Тупо подменяют файл /var/spool/cron/root

yum update - тупо Killed

в топе висит

kthrotlds

3402 root 20 0 431416 5588 652 S 398.1 0.0 142:57.59 [kthrotlds]

Жрет все CPU.

Взлом на сервере с ISPManager 5.

Кто и как фиксил?

K0
На сайте с 16.05.2012
Offline
70
#6

Я правильно понимаю, что если у меня exim 4.84, то я могу спать спокойно?

S2
На сайте с 30.12.2015
Offline
302
#7
anton_hosting:
ребята, а как чистили после взлома? Замечали уже взломы?

Тупо подменяют файл /var/spool/cron/root

yum update - тупо Killed

в топе висит
kthrotlds

3402 root 20 0 431416 5588 652 S 398.1 0.0 142:57.59 [kthrotlds]

Жрет все CPU.

Взлом на сервере с ISPManager 5.


Кто и как фиксил?

Как-то так. прям все команды скопом в коносль пихайте

killall -9 crond
service crond stop
killall -9 [kthrotlds]
chattr -i /root/.ssh/authorized_keys
> /root/.ssh/authorized_keys
chattr -i /usr/local/bin/nptd
rm -rf /usr/local/bin/nptd
chattr -i /.cache/.ntp
rm -rf /.cache/.ntp
chattr -i /root/.cache/*
rm -rf /root/.cache/*
chattr -i /root/.editorinfo
rm -rf /root/.editorinfo
chattr -i /etc/cron.hourly/cronlog
rm -rf /etc/cron.hourly/cronlog
chattr -i /etc/cron.daily/cronlog
rm -rf /etc/cron.daily/cronlog
chattr -i /etc/cron.d/root
rm -rf /etc/cron.d/root
rm -rf /etc/cron.d/.cronbus
chattr -i /etc/cron.d/.cronbus
rm -rf /etc/cron.monthly/cronlog
chattr -i etc/cron.monthly/cronlog
chattr -i /var/log/cron
echo '' > /var/log/cron
chattr -i /var/spool/cron/root
rm -rf /var/spool/cron/root
killall -9 [kthrotlds]

Вроде все нашел, где покопошился малварь. После выполнения активность вируса не замечена.

AH
На сайте с 15.03.2015
Offline
32
#8
smart2web:
Как-то так. прям все команды скопом в коносль пихайте

Вроде все нашел, где покопошился малварь. После выполнения активность вируса не замечена.

вот это респект. Спасибо, сэкономили время.

а сервер пробовали ребутать после чистки? Поднимается?

тут все посерьезней:

3.63, Аноним (63), 17:38, 10/06/2019 [^] [^^] [^^^] [ответить] [к модератору] !*!
+2 +/–
Мой сервер с ISPmanager тоже взломали, почистил задания в cron, в /etc/rc.local, был заменен бинарник curl, вроде пока чисто
Я понять не могу похоже это майнер или что-то подобное заливают
WapGraf
На сайте с 30.09.2009
Offline
451
#9

А также смотрим /etc/rc.local и чистим очередь exim'а.

---------- Добавлено 10.06.2019 в 19:27 ----------

killall -9 [kthrotlds]

это /bin/[kthrotlds]

WebAlt
На сайте с 02.12.2007
Offline
210
#10
Если вы используете почтовый сервер Exim версии ниже 4.92 - срочно обновитесь. Начиная с версии 4.87 по 4.91 включительно почтовый сервер содержит ошибку в коде, с помощью которого злоумышленники могут получить root-доступ к серверу, что крайне опасно. Уже получаем сообщения от пострадавших.

Centos
Убедитесь, что почтовый сервер установлен:
rpm -qa | grep exim

Результатом будет версия Exim: exim-4.88-3.el7.x86_64
Если версия ниже 4.92, выполните обновление:
yum update exim

Перезапустите почтовый сервер:
service exim restart

Debian или Ubuntu
Убедитесь, что exim установлен:
dpkg -l | grep exim

Выполните обновление:
apt-get update && apt-get install exim4

Перезапустите почтовый сервер:
service exim4 restart

После обновления в профилактических целях смените все пароли на сервере: root, обычных пользователей, пароли баз данных, почты и др.

Что делать, если сервер уже взломали?
Самый безопасный способ - перенос данных на новый виртуальный сервер с Centos 7 или Ubuntu 16/18 - на этих ОС при установке с ISPmanager автоматически устанавливается последняя версия Exim.
Менее безопасный - обновить на сервере Exim, сменить все пароли, выполнить проверку и чистку сервера от вирусов — самостоятельно или с помощью профильных специалистов. В теории это может помочь - но нет гарантий, что злоумышленники не спрятали бэкдоров для повторных заражений.
Рекомендуем как можно быстрее принять меры: чем раньше вы обновите почтовый сервер, тем меньше будет риск взлома VDS.

© FirstVds.ru

Промокод на скидку 25%: [ 64821976 ] на сайтах: [ https://firstvds.ru ] - виртуальные серверы; [ https://1dedic.ru ] - выделенные серверы; [ https://ispserver.ru ] - хостинг, VPS/VDS, выделенные и облачные серверы.
12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий