Уязвимость в почтовом сервере EXIM

6 июня была обнаружена уязвимость(CVE-2019-10149) почтового сервиса exim, которая позволяет получить root доступ злоумышленникам.

Сегодня утром, обнаружен массовый взлом серверов с использованием данной уязвимости, на которые был загружен майнер криптовалюты.

В связи с этим, мы просим Вас перепроверить версию exim на сервере и если у Вас версия exim ниже 4.92, то необходимо обновить его как можно скорее.

Вы можете его обновить в ручную или написать запрос в отдел техподдержки для его обновления. 

Для обновлению exim сервиса в ручную, Вам необходим подключиться к серверу через ssh и проверить версию установленного exim.

Проверить установленную версию, Вы можете с помощью команды: 

exim --version | head -1

Если у Вас версия exim ниже 4.92, то Вам необходимо его обновить. Обновить его, Вы можете командой:

yum update exim - Для Centos

Но следует отметить, что так обновитесь только до версии 4.91, что бы обновится до версии 4.92 нужно использовать другоую комманду (так как обновление в тестовой ветке):

yum --enablerepo=epel-testing update exim

У меня сервера на CentOS, так с ними и разобрался.

apt-get update && apt-get install exim4 - Для Ubuntu/Debian

После обновления exim, Вам обязательно необходимо его перезагрузить командой:

service exim restart - Centos

service exim4 restart - Ubuntu/Debian

Также, Вам необходимо проверить взломан ли Ваш сервер или нет. Для проверки, пропишите команду в консоли: 

ps aufx | grep kthrotlds

Если Вам выведет одну строку: grep --color=auto kthrotlds

То сервер не взломан, но если выведет две строки:

grep --color=auto kthrotlds

[kthrotlds]

Пример вывода взломанного сервера: https://gyazo.com/cec203e037b6781128e477d40783f4ef

Если Ваш сервер взломан, Вам необходимо обратится в отдел техподдержки. 

Если Ваш сервер был взломан, то мы хотим Вас предупредить, что злоумышленники переписывают все cron-задачи и приватные ключи на сервере. 

Их необходимо будет восстановить из бэкапа или в ручную.

Также проверьте не появились ли дополнительные пользователи с правами рут, вида Operator, Senyor etc...

Так как до конца механизм взлома не изучен, если вы подверглись заражению, после устранения уязвимости, крайне рекомендуем мониторить ближайшие несколько недель нагрузку на сервер и посторонние процессы.

Если у Вас на сервере не используется exim, или вы используете Shared-хостинг,  просто проигнорируйте данное сообщение.

Источник: рассылка команды opencart.pro