» » Срочно обновляйте exim до 4.92 — идёт активное заражение

 

Срочно обновляйте exim до 4.92 — идёт активное заражение

Автор: admin от 10-06-2019, 17:10, посмотрело: 210

Коллеги, кто использует на своих почтовых серверах Exim версий 4.87...4.91 — срочно обновляйтесь до версии 4.92, предварительно остановив сам Exim во избежание взлома.

Информация о проблеме на Opennet

Информация на сайте Exim



Сейчас описанная там проблема активно эксплуатируется (ботом, надо полагать), заметил у себя на некоторых серверах (бегавших на 4.91) поражение.



Заражение заметно так: [kthrotlds] грузит процессор; на слабой VDS на 100%, на серваках слабее но заметно.



После заражения зловред удаляет записи в крон, прописывая там только себя в запуском каждые 4 минуты.



При этом файл кронтаба делает immutable. Это можно снять например так и удалить его (vim):



chattr -i /var/spool/cron/root
crontab -e

dd
:wq


Однако какой-то из активных процессов перезаписывает снова, разбираюсь.

При этом висит куча активных wget'ов на адреса из скрипта инсталлятора (см. ниже), я их пока сбиваю так, но они снова запускаются:

ps aux | grep wge[t] ; echo "Stopping..." ; kill -9 `ps aux | grep wge[t] | awk '{print $2}'` ; echo  "Done, run again if there are any entries still listed: "; ps aux | grep wge[t]


Скрипт инсталлятора трояна нашел тут (centos): /usr/local/bin/nptd… не выкладываю во избежание, но если кто заражен и разбирается в shell скриптах, пожалуйста изучите внимательнее.



Дополню по мере обновления информации.

Источник: Хабр / Интересные публикации

Категория: Информационная безопасность, Linux

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *