6 июня была обнаружена уязвимость(CVE-2019-10149) почтового сервиса exim, которая позволяет получить root доступ злоумышленникам.
Сегодня утром, обнаружен массовый взлом серверов с использованием данной уязвимости, на которые был загружен майнер криптовалюты.
В связи с этим, мы просим Вас перепроверить версию exim на сервере и если у Вас версия exim ниже 4.92, то необходимо обновить его как можно скорее.
Вы можете его обновить в ручную или написать запрос в отдел техподдержки для его обновления.
Для обновлению exim сервиса в ручную, Вам необходим подключиться к серверу через ssh и проверить версию установленного exim.
Проверить установленную версию, Вы можете с помощью команды:
exim --version | head -1
Если у Вас версия exim ниже 4.92, то Вам необходимо его обновить. Обновить его, Вы можете командой:
yum update exim - Для Centos
Но следует отметить, что так обновитесь только до версии 4.91, что бы обновится до версии 4.92 нужно использовать другоую комманду (так как обновление в тестовой ветке):
yum --enablerepo=epel-testing update exim
У меня сервера на CentOS, так с ними и разобрался.
apt-get update && apt-get install exim4 - Для Ubuntu/Debian
После обновления exim, Вам обязательно необходимо его перезагрузить командой:
service exim restart - Centos
service exim4 restart - Ubuntu/Debian
Также, Вам необходимо проверить взломан ли Ваш сервер или нет. Для проверки, пропишите команду в консоли:
ps aufx | grep kthrotlds
Если Вам выведет одну строку: grep --color=auto kthrotlds
То сервер не взломан, но если выведет две строки:
grep --color=auto kthrotlds
[kthrotlds]
Пример вывода взломанного сервера: https://gyazo.com/cec203e037b6781128e477d40783f4ef
Если Ваш сервер взломан, Вам необходимо обратится в отдел техподдержки.
Если Ваш сервер был взломан, то мы хотим Вас предупредить, что злоумышленники переписывают все cron-задачи и приватные ключи на сервере.
Их необходимо будет восстановить из бэкапа или в ручную.
Также проверьте не появились ли дополнительные пользователи с правами рут, вида Operator, Senyor etc...
Так как до конца механизм взлома не изучен, если вы подверглись заражению, после устранения уязвимости, крайне рекомендуем мониторить ближайшие несколько недель нагрузку на сервер и посторонние процессы.
Если у Вас на сервере не используется exim, или вы используете Shared-хостинг, просто проигнорируйте данное сообщение.
Источник: рассылка команды opencart.pro