Критическая уязвимость Exim ((cve-2019-10149.)) - Безопасность сайтов на Joomla

Прежде всего для владельцев VPS и выделенных серверов, обнаружена критическая уязвимость (CVSS 3.0 base score = 9.8/10) для версий Exim версий 4.87...4.91, которая позволяет злоумышленнику получить полный контроль над сервером (root права).

Активность бота, эксплуатирующего данную уязвимость, очень высокая, число пострадавших клиентов постоянно растет. К нам обратилось уже несколько клиентов с подобной проблемой, которые во время не обновляли сервера.

Проверить заражен ли ваш сервер можно так: запущен процесс от root с именем [kthrotlds], который грузит процессор; на слабых VPS нагрузка очень высокая и может приводить к неработоспособности сайта, на выделенных серверах нагрузка слабее и внешне на сайте может не проявляться, но процесс висит и его легко обнаружить.

После заражения зловред удаляет записи в крон, прописывая там только себя в запуском каждые несколько минут, при этом файл crontab делает immutable, и не сможете просто так его отредактировать даже под root. Crontab -e не может сохранить изменения, будет ошибка. Кроме этого, вирус редактирует конфигурационный файл ssh, прописывая туда свой SSH-ключ в ${sshdir}/authorized_keys. Помимо этого, наблюдается другие проблемы в работе сервера/сайта.

Для тех, кто еще не успел словить заразу нужно срочно обновить Exim до версии 4.92, для уже заразившихся используйте скрипт (через ssh):

Еще вчера утром обновил всех клиентов.

Утилита от FirstVDS
https://firstvds.ru/blog/uyazvimost-v-exim-profilaktika-i-lechenie-posledstviy
Как пользоваться?

Для запуска скрипта:

  1. Подключитесь к серверу по SSH под пользователем с правами root. Также можно использовать Shell- клиент в панели ISPmanager — Инструменты.

  2. В терминале введите команду:

wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh

  3. Ожидайте завершения выполнения скрипта и перезагрузки сервера.

  4. После перезагрузки проверьте работу сервера и сайтов/приложений, размещённых на нём, перенастройте или восстановите из бэкапа задачи в cron

Блин, вы чего? Какой нахрен скрипт из сомнительных источников? Всё же придумано за вас давным давно из офиц. репозиториев:

Всё же придумано за вас давным давно из офиц. репозиториев

это тоже ликвидирует последствия заражения?

https://lechillka.firstvds.ru/exim_rce_fixer.sh

Наивно полагать этот скрипт чего-то ликвидирует, если факт заражения уже был и зловред получил ROOT доступ. А что нужно делать для восстановления? Правильно: резервное копирование. Не за что, комрад.

Наивно полагать

не очень наивно. потому что этот скрипт сделан на основе реального заражения и анализа. и все последующие заражения которые были - они были точно такими же. т.е. все заражения пока из одного источника, и по одной логике.

А что нужно делать для восстановления?

в данном случае слава доброму хакеру который не разнообразил вектор атак, поэтому пока достаточно запустить этот скрипт и больше ничего не делать

не за что, комрад

не очень наивно. потому что этот скрипт сделан на основе реального заражения и анализа. и все последующие заражения которые были - они были точно такими же. т.е. все заражения пока из одного источника, и по одной логике.

Ахахахах, ну ты просто гений администрирования. Если зловред получил рут, то надо сносить нах. сервер и ставить операционку заново или же использовать резервную копию в случае её наличия -- это тебе любой сисадмин скажет.

Филипп, вы чисто так, поговорить? скучно? любой сисадмин точно так же скажет что apt на сервере юзать категорически нельзя, потому что надо юзать yum и что с того? я ж вам этого не рассказываю, правда, кто гений администрирования? еще раз: этот скрипт разработан хостинг провайдером, для своих клиентов, для ликвидирования последствий заражения после взлома exim, на основе изучения работы взломщика, и на основе анализа измененных данных на (многих) серверах этого провайдера. везде одно и тоже. везде суть лечения сводится к тому, что в этом скрипте сделано. и не только у этого провайдера. это все пока, ессно. дальше конечно появятся новые разновидности, но пока других атак не обнаружено, можно запустить этот скрипт и все. вы можете и вольны делать что хотите - сносить сервер, уносить сервер, выносить сервер, досить сервер и еще чего угодно "сить" сервер, ваш же никто не заставляет этим скриптом пользоваться. а остальные просто пролечат его и будут дальше жить.

Филипп, вы чисто так, поговорить? скучно?

Это ты, видимо, заскучал.

любой сисадмин точно так же скажет что apt на сервере юзать категорически нельзя, потому что надо юзать yum

Оффтоп.

досить сервер и еще чего угодно "сить" сервер, ваш же никто не заставляет этим скриптом пользоваться. а остальные просто пролечат его и будут дальше жить.

Не надо лечить то, что не болеет -- можно залечить. Я вчера тоже все серваки обновил стандартным способом, чисто, из офф. репозиториев -- ни один из них не был заражён. А если бы он был заражён, то я бы всё равно не стал полагаться на то, что какой-то непонятный скрипт устранит все последствия зловреда, который получил рут.

Это ты, видимо, заскучал.

ну я просто ваше мнение вижу, а вот чтобы оно было чем то аргументировано - не вижу. уж сори.

Оффтоп.

правда? а это

Ахахахах, ну ты просто гений администрирования.

?

Не надо лечить то, что не болеет -- можно залечить.

ессно. а я где то другое сказал? это рекомендация только тем, у кого сервак заражен. как узнать заражен он или нет - тоже описано.

Я вчера тоже все серваки обновил стандартным способом, чисто, из офф. репозиториев -- ни один из них не был заражён.

рад за вас. вам повезло больше, чем другим. у меня тоже не были заражены. но есть к сожалению и другие случаи.

А если бы он был заражён, то я бы всё равно не стал полагаться на то, что какой-то непонятный скрипт устранит все последствия зловреда, который получил рут.

и в общем случае вы были бы абсолютно правы, и я даже писать бы ничего не стал. но конкретно в данном случае  - нет. почему - я уже выше написал.

на сим предлагаю обмен мнениями закончить, мы оба высказались, мнение свое мы все равно не поменяем, поэтому дальше спор просто бесполезен. у юзеров теперь есть 2 точки зрения, надеюсь какую нибудь выберут

Что так много написал? Мне лень отвечать. Полагайся дальше на волшебный скрипт и чувствуй себя настоящим героем 

Наивно полагать этот скрипт чего-то ликвидирует, если факт заражения уже был и зловред получил ROOT доступ. А что нужно делать для восстановления? Правильно: резервное копирование. Не за что, комрад.

Ну во всяком случае он покажет что дыра есть и что ей воспользовалась.

Что так много написал? Мне лень отвечать. Полагайся дальше на волшебный скрипт и чувствуй себя настоящим героем 

о горе, сколько вам лет, честное слово, что вы себя ведете как ребенок? скучно реально. и немножко удивительно и отвратительно. но совсем чуть чуть.

Да блииииин, какие же вы наивные, ребята. Вы что, рили, думаете, что хакеры не читают эти лечилки? Это же всё как на ладони видно, все новые атаки уже будут отличаться от старых, как вы понять это не можете?! И никто не знает, сработала ли таблетка или же нет. Ей-богу, ну нельзя же так слепо полагаться на манну небесную 

да, тот случай, когда общались 2 умных человека, но воспитанным был только 1 

да, тот случай, когда общались 2 умных человека, но воспитанным был только 1 

Именно здесь, в профессиональном мире, важно то, что говорят, а не как говорят.

Это же всё как на ладони видно, все новые атаки уже будут отличаться от старых, как вы понять это не можете.

ну если бы вам не было так лень отвечать, то может вы бы прочли что вам пишут?

Именно здесь, в маленьком устойчивом сообществе, хочется видеть людей, а не тролей.

Именно здесь, в маленьком устойчивом сообществе, хочется видеть людей, а не тролей.

Вот и не тролль, как будто мы несколько лет до этого не общались. Что прицепился к интонации? Вычурную вежливость решил продемонстрировать? Удивить решил?

Вот вы нашли тему для спора.
Конечно лечилка тут не панацея, она вообще предназначена скорее показать что ты до сих не обновился и есть последвия.
И да по таким уязвимость бьют боты а не хакеры, так что вектор тут на "дурака"