Уязвимость очень высокого уровня в exim

WapGraf:
Dram, да потому что многие постят дабы постить. Даже рассылки делают с дезинформацией.
https://security-tracker.debian.org/tracker/CVE-2019-10149

anton_hosting:
ребята, а как чистили после взлома? Замечали уже взломы?

Тупо подменяют файл /var/spool/cron/root

yum update - тупо Killed

в топе висит
kthrotlds

3402 root 20 0 431416 5588 652 S 398.1 0.0 142:57.59 [kthrotlds]

Жрет все CPU.

Взлом на сервере с ISPManager 5.


Кто и как фиксил?

killall -9 crond
service crond stop
killall -9 [kthrotlds]
chattr -i /root/.ssh/authorized_keys
> /root/.ssh/authorized_keys
chattr -i /usr/local/bin/nptd
rm -rf /usr/local/bin/nptd
chattr -i /.cache/.ntp
rm -rf /.cache/.ntp
chattr -i /root/.cache/*
rm -rf /root/.cache/*
chattr -i /root/.editorinfo
rm -rf /root/.editorinfo
chattr -i /etc/cron.hourly/cronlog
rm -rf /etc/cron.hourly/cronlog
chattr -i /etc/cron.daily/cronlog
rm -rf /etc/cron.daily/cronlog
chattr -i /etc/cron.d/root
rm -rf /etc/cron.d/root
rm -rf /etc/cron.d/.cronbus
chattr -i /etc/cron.d/.cronbus
rm -rf /etc/cron.monthly/cronlog
chattr -i etc/cron.monthly/cronlog
chattr -i /var/log/cron
echo '' > /var/log/cron
chattr -i /var/spool/cron/root
rm -rf /var/spool/cron/root
killall -9 [kthrotlds]

smart2web:
Как-то так. прям все команды скопом в коносль пихайте

Вроде все нашел, где покопошился малварь. После выполнения активность вируса не замечена.

3.63, Аноним (63), 17:38, 10/06/2019 [^] [^^] [^^^] [ответить] [к модератору] !*!
+2 +/–
Мой сервер с ISPmanager тоже взломали, почистил задания в cron, в /etc/rc.local, был заменен бинарник curl, вроде пока чисто
Я понять не могу похоже это майнер или что-то подобное заливают

killall -9 [kthrotlds]

Если вы используете почтовый сервер Exim версии ниже 4.92 - срочно обновитесь. Начиная с версии 4.87 по 4.91 включительно почтовый сервер содержит ошибку в коде, с помощью которого злоумышленники могут получить root-доступ к серверу, что крайне опасно. Уже получаем сообщения от пострадавших.

Centos
Убедитесь, что почтовый сервер установлен:

rpm -qa | grep exim

Результатом будет версия Exim: exim-4.88-3.el7.x86_64
Если версия ниже 4.92, выполните обновление:

yum update exim

Перезапустите почтовый сервер:

service exim restart

Debian или Ubuntu
Убедитесь, что exim установлен:

dpkg -l | grep exim

Выполните обновление:

apt-get update && apt-get install exim4

Перезапустите почтовый сервер:

service exim4 restart

После обновления в профилактических целях смените все пароли на сервере: root, обычных пользователей, пароли баз данных, почты и др.

Что делать, если сервер уже взломали?
Самый безопасный способ - перенос данных на новый виртуальный сервер с Centos 7 или Ubuntu 16/18 - на этих ОС при установке с ISPmanager автоматически устанавливается последняя версия Exim.
Менее безопасный - обновить на сервере Exim, сменить все пароли, выполнить проверку и чистку сервера от вирусов — самостоятельно или с помощью профильных специалистов. В теории это может помочь - но нет гарантий, что злоумышленники не спрятали бэкдоров для повторных заражений.
Рекомендуем как можно быстрее принять меры: чем раньше вы обновите почтовый сервер, тем меньше будет риск взлома VDS.