Уязвимость в почтовом сервере Exim версий 4.84-4.91

by Блог хостинга ИксФайвИкс
Уязвимость в почтовом сервере Exim версий 4.84-4.91

На днях стало известно о том, что многие версии популярного почтового сервера Exim подвержены уязвимости, способной нанести существенный вред Linux-серверу.

Проблема касается версий Exim с 4.87 по 4.91, версия 4.92 уже безопасна. Также проблема касается ручных сборок Exim, если сборка велась с опцией EXPERIMENTAL_EVENT.

Подробная информация о данной уязвимости размещена здесь.


Как узнать, заражён ли сервер?

Если на Вашем сервере работает Exim указанных версий, то проверьте:

  • Запущенные процессы с помощью команды top, на заражённых серверах резко возрастает потребление CPU, в основном, процессом kthrotlds.
  • Задачи Cron, на заражённых серверах обнаружены задания, которых ранее не было, именно они не дают легко вылечить сервер.
  • Наличие в файле /root/.ssh/authorized_keys подозрительных ключей.
  • В параметрах SSH-сервера появляются изменения. Вирус изменяет значения параметров PermitRootLogin, RSAAuthentication, PubkeyAuthentication, UsePAM, PasswordAuthentication на yes. Если параметры ранее не были настроены, то вирус дописывает их в конец файла /etc/ssh/sshd_config.

Что делать?

Обновление Exim

В первую очередь нужно обновить Exim с помощью пакетного менеджера Вашей ОС, либо средствами панели управления.

Для CentOS 6:

rpm -Uvh https://kojipkgs.fedoraproject.org//packages/exim/4.92/1.el6/x86_64/exim-4.92-1.el6.x86_64.rpm
yum reinstall -y curl

Для CentOS 7:

yum install -y exim
yum reinstall -y curl

Для Debian, Ubuntu:

apt-get update
apt-get -y install exim4
apt-get -y --reinstall curl

Для DirectAdmin:

cd /usr/local/directadmin/custombuild
./build update
./build exim
./build curl

Очистка уже заражённой системы

Если Вы видите подозрительную активность на сервере, то первым делом можно попробовать следующее решение, оно разработано коллегами из FirstVDS.

Данная инструкция распространяется на первую волну заражения, определённую на 11 июня 2019 г., возможно, что в будущем будут и другие волны, с совсем другим поведением вируса.

В SSH выполните:

June 11, 2019
by Илья / ИксФайвИкс
Новости мира IT
How-to