Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploitin...) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.dev/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.
В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurv...) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России.
Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c51430250...), предоставляющий привилегированный доступ в систему через SSH.
После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.URL: https://www.cybereason.com/blog/new-pervasive-worm-exploitin...
Новость: https://www.opennet.dev/opennews/art.shtml?num=50870
Какая неожиданность, ну кто бы мог подумать!
епжешметь!!! опять тонны кала обновлять
Вовремя я на postfix переехал!
Поднял iRedMail - полет нормальный!
>Вовремя я на postfix переехал!Ты бы лучше вовремя обновлялся, а то теперь когда в postfix найдут уязвимость, переходить останется только на sendmail.
Кстати, с учётов всех последних событий, sendmail - хороший способ дистанцироваться от модных мальчиков, обмазывающихся свеженьким.
...и писать sendmail.cf вручную. С нуля.
sendmail.mc вполне себе удобоварим
опять же сейчас MTA получает почту и передает в LDA на какой-нибудь dovecot который раздает почту по ящикам
Так что сложность преувеличена ))А еще часто бывает что вообще тупо проксирует дальше на MS Exchange
Если local delivery не нужна (а она не нужна в 99% случаев, на самом деле), то собирается hardened exim (https://www.exim.org/exim-html-current/doc/html/spec_html/ch...), отключается не нужный local_delivery, и все отлично.Проблема, как всегда, в квалификации администраторов, которые делают apt-get install и "я сделяль".
чего еще и в каких местах надо отключить ненужного и как вы подключаетесь к /dev/astral чтобы получить весь список еще до того как найдут очередную дырку?не говоря уже о том, как приятно разгребать завал за админчегом, удалившим local_delivery на хостах (и пытаться угадать, чем тут еще нельзя пользоваться, потому что безопасТно)
у меня нет проблемы написать его вручную с нуля, но он уже написан.
В отличие от Configure, в котором у exim из коробки какая-то мусорка, заметим.
Свеженькое — это что? postfix или exim?
Возможно, имелось в виду "свеженькое" - это ПО того же назначения, написанное позже с целью заменить ранее существовавшее. Сабж относительно сендмейла, нжинкс относительно апача, кнот относительно бинда, и т.д.
> переходить останется только на sendmailНу, есть же еще qmail от DJB ;)
Cтатистически его уже практически нет. И слава богу.
> а то теперь когда в postfix найдут уязвимостьСделайте одолжение, сами-то сверьте их за этот век. А то чушь непоротая, похоже, скоро станет краснокнижной...
>> а то теперь когда в postfix найдут уязвимость
>Сделайте одолжение, сами-то сверьте их за этот век. А то чушь непоротая, похоже, скоро станет краснокнижной...По-сути, на фразу "когда в postfix найдут уязвимость" следует аргумент "сверьте их за этот век".
А теперь вопрос: с каких пор меньшее количество уязвимостей в прошлом стало гарантией от их отсутствия в будущем?
Так что "чушь непоротую" по-моему ляпнули вы.
> А теперь вопрос: с каких пор меньшее количество уязвимостей
> в прошлом стало гарантией от их отсутствия в будущем?Ответ демагогу-недоучке будет прост: учите матчасть, учитесь думать головой, а то и даже читать+понимать код и замысел.
Возможно, тогда не захочется спрашивать о гарантиях там, где о них не говорили, искать доказательств несуществования в обсуждении новости об очередном существовании (но в другом месте) и продолжать упорно пороть чушь даже тогда, когда уже носом ткнули.
Отсюда профнепригодный спам (#76 -- тоже) удаляю.
Уязвимости в постфиксе не так страшны. ЕМНИП, там пара узкоспециализированных демонов, работающих под разными юзерами. А в экзиме один бинарь с suid-битом - этакая обезьяна с гранатой. %)
>> Вовремя я на postfix переехал!
> Ты бы лучше вовремя обновлялсяС хорошими разработками этот зуд может и отпустить. Что характерно, про них и подобных новостей почему-то не бывает...
(нет, у exim есть свои сильные стороны, вот только его извечная дырявость их для почти любого грамотного почтмейстера -- кроме тех, у кого выбор в этой нише примерно из exim и sendmail -- их по большей части перечёркивает; средний админ дебиана или пользователь такого vps в грамотные почтмейстеры "автоматически" не попадает -- можно спорить хоть до хрипоты, жизнь придёт и опять расставит всё по местам)
Postfix имеет окло идеальную архитектуру из-за чего его трудно поломать полезным образом даже при наличии багов в софте. Exim это хороший пример разработки дилетантов и дебиан - дистрибутив продвигающий откровенное дерьмо.
Ну естественно, ведь для Postfix нет, не было и не будет критических уязвимостей.
>доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%).Постфикс растет стремительными темпами...
зато эксченж стал бескомпромисно неуловимым сервером. Можно в армии и банках использовать теперь.ЗЫ: как эти "хосты" торовские заблочить, если айпи в них не резолвятся, а iptables визит только айпи? Всякие долбежки на мои ssh порты через тор часто осуществляются или все больше с латвиских впс?
Exchange всегда прятался за exim или postfix.Так что %% 30 от всего этого добра имеет бакэндом Exchange
https://portal.msrc.microsoft.com/en-us/security-guidance/ad...Жирно
Эксч используется как основной почтовик во множестве крупных и не очень контор. Вот только стыдливо прячется за спиной более безопасных соседей.
перм бан после любого запроса на 22й порт+ подключение гео списков с айпи стран с баном всего азиатского говнорегиона
все три перечисленных тор-наизнанку - в прекрасных Штатах и Канаде.Либероидная шиза, держащая на (украденных с гранта, выделенного на совсем другое, как правило) мощностях тор-гейты обитает именно там, а не в китае.
Вообще идея интересная. Поставлю себе Exim в локалхост, чтобы майнить крипту.
> осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявленияКакая нелюбовь к конкурентам.
думается тут чисто бизнес. потому что ресурсы то тратятся...
>>уже имеющихся систем майнинга, которые удаляются в случае выявления
> Какая нелюбовь к конкурентам.Какая нафинг [не]любовь -- борьба ж за ресурсы и эффективность.
Это ж чистой воды ползучий антивирус, с почасовой оплатой в криптовалюте.
смешно, да...
> Это ж чистой воды ползучий антивирус, с почасовой оплатой...в киловатт-часах.
>> Это ж чистой воды ползучий антивирус, с почасовой оплатой
> ...в киловатт-часах.8-O ??? Чубайс?!...
Если какую-то старую помойку взломал один ботнет, то велика вероятность что другой ее тоже взломает. Скорее всего ребята уже сталкивались не однократно с тем, что ни одни они хотят помайнить и пропатчили.
Да едва ли не вся малварь последне лет 20 так делает.
Повторю вопрос оратора из предыдущей новости "Разве exim работает от рута?"
ну а майнить обязательно от лица root?
The Exim binary is normally setuid to root, which means that it gains root privilege (runs as root) when it starts execution. In some special cases (for example, when the daemon is not in use and there are no local deliveries), it may be possible to run Exim setuid to some user other than root. This is discussed in the next section. However, in most installations, root privilege is required for two things:To set up a socket connected to the standard SMTP port (25) when initialising the listening daemon. If Exim is run from inetd, this privileged action is not required.
To be able to change uid and gid in order to read users’ .forward files and perform local deliveries as the receiving user or as specified in the configuration.
https://www.exim.org/exim-html-current/doc/html/spec_html/ch...
Ты хочешь сказать, после открытия порта он не сбрасывает привилегии?
Зависит от конфигурации.
в 16й бубунте от Debian-exim, в 6м дебиане - от какого-то безымянного пользователя с uid=101 (по крайней мере у меня такое). больше мне посмотреть негде...
подозреваю, что exim от рута никто не видел, но все боятся
P.S. если кто-то хочет/может проверить у себя, вот команда: ps -C exim4 -o user
На бинарь exim обычно ставится SUID-бит. Т. е. он запускается под пользователем root, а потом делает setuid и сбрасывает привилегии. НО! в определенных случаях, типа локальной доставки, или на этапе роутинга, когда нужно прочитать какие-то файлы (.forward например) в хомяке юзера, exim сам себя ре-exec-ает и опять становится рутом.
Не, для локальной доставки сразу же делается setuid/setgid на нужного хомяка.
А вот queue_runner и system_filter работают по дефолту от рута, да.Если local delivery не нужна и отключена, можно смело снимать suid bit.
Угу, и есть еще глобальная опция deliver_drop_privilege, которая запрещает получать рутовые привилегии.
Да, это тоже. Есть хорошая страничка в мануале https://www.exim.org/exim-html-current/doc/html/spec_html/ch...Но suid я все равно предпочитаю снимать от греха подальше. :-)
>exim сам себя ре-exec-ает и опять становится рутомхитёр, хитёр
Как настроишь, так и работает. Дефолты в разных дистрибутивах разные.
Известен список хостов откуда прилетает?
В новости же есть:> Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.
Ну и с других шлюзов наверняка прилетает или будет прилетать.
Кстати, тут стало интересно: а кто-то реально ждёт почту от торчков?
Просто обновил exim до последней версии и всё. нубасы использующие древний софт должны страдать
Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм, из Нубии?..
> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
> из Нубии?..Noob это один юнит, а noobs (если не смотреть на перевод гугл переводчика) это более одного юнита, получается некий транслит :)
>> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
>> из Нубии?..
> Noob это один юнит, а noobs (если не смотреть на перевод гугл
> переводчика) это более одного юнита, получается некий транслит :)Нубз и noobass не одно и тоже.
>>> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
>>> из Нубии?..
>> Noob это один юнит, а noobs (если не смотреть на перевод гугл
>> переводчика) это более одного юнита, получается некий транслит :)
> Нубз и noobass не одно и тоже.не не, всё верно))
Вот это ты отсталый, словно вчера в интернет зашел.
о дырке с этом обновлении вам сообщат на следующей неделе.. когда намайнят... будьте на линии...
до того времени выйдет новая версия, а потом сообщат об уязвимости в предыдущей.
мониторинг никто не отменял :) тьху тьху, ниразу никаких проблем (главное весту не юзать) уж больно её частенько кто-то ломает.
да кому ваша лада нужна?
> да кому ваша лада нужна?она не моя, но нужна и оооочень многим. Умойтесь и прозрейте, вы не один на свете.
Древний exim не подвержен, а вот новый как оказалось наоборот
Эта уязвимость затрагивает версии от 4.87 до 4.91
каким пользуетесь вы?
4.80 и 4.84
У меня 4.82 и я не страдаю :)
> У меня 4.82 и я не страдаю :)хорошо будет если ваше время не придёт :)
у меня suid бит снят, так что максимум под Debian-exim что-нибудь запустят, не так уж страшно
> у меня suid бит снят, так что максимум под Debian-exim что-нибудь запустят,
> не так уж страшноПронесёт. Скоро уже и Debian 10 зарелизится, а я всё жду CentOS 8, мне нравится большое количество репов под него со свежими версиями софта, к примеру remi и rpmfusion, а под дебиан не удалось ничего похожего найти и популярного
Просто проверил все ли обновилось, так как Бубунта-Сервер секьюрные апдейты накатывает автоматически.
> Microsoft Exchange - 0.57% (0.85%)Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают. Как объяснить? Или это из той же оперы, что доля Linux якобы меньше 1%, хотя по независимым данным, она около 20%.
Не 20%, но 5% точно есть.
Так 20% это ж летом
Думаешь, на зимних каникулах меньше?
>Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают.так и есть.
>Как объяснить?
Самая популярная модель в России среди автомобилей это Lada Granta.
а посмотришь на парковку возле дома- джипы джипы джипы...
Как это объяснить?Самое популярное - это не самое популярное в солидных кругах.
О-оо, ща нам расскажут сказку про "популярность" ексчанжей с шарепойнтами, как она достигается и во что выливается, ага.PS: гусары, про CERN -- молчать!
>> Microsoft Exchange - 0.57% (0.85%)
> Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках
> и прочим источникам, все только на нем работают. Как объяснить?1. Вражеская пропаганда Микрософт. Все врут. [Даже твои собственные суждения -- микрософт уже проник в голову!]
2. Оно заботливо прикрывают, для безопасности, вишь ты!, от большого-и-страшного интернета релеями на более обычных-бесплатных linux|bsd почтовиках. Они (см.сабж) не такие дырявые, наверное.
>>> Microsoft Exchange - 0.57% (0.85%)
> 2. Оно заботливо прикрывают, для безопасности, вишь ты!, от большого-и-страшного интернета
> релеями на более обычных-бесплатных linux|bsd почтовиках. Они (см.сабж) не такие
> дырявые, наверное.А, да! Они ещё _не_тормозят_ и не перестают принимать Почты при 3000 артефактах в очереди. Обычно....
>судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают. Как объяснитьMX на жирном корпоративном exchange обычно какой-нить ironport или другая железка, из инета не видно.
а типичный exim или postfix из статистики это пустой как барабан VPS с полгигом рамы
Если я правильно понял - на OBSD эта фича работать не будет, если Securelevel выставлен в правильный режим и критичные файлы запрещены для изменения ? (crontab, passwd)?.Или лучше Snort+snortsam(например) для поиска команды run на 25 порту?
Зачем ты на обсд exim используешь?
Чтобы довести до слёз тех, кто не любит BSD, очевидно же!
Так исторически сложилось у нас, да и Exim удобен для работы , умеет больше чем Sendmail,Postfix,qmail... А то что он на опенке стоит - даже лучше.
> Sendmail,Postfix,qmailДумаю, Васян всё же подразумевал не их, а opensmtpd.
> В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%)Эти люди не слышали про опцию smtp_banner
Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)
> Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)Хм, что это за чудесный край где электричество и аренда помещения бесплатны (как впрочем и сами железки, ресурс и мощность которых так же достаются "хацкеру")?
Не местечки ли Podt d'Îvuannyîah и Еntré-Solèah в королевстве M'amk-Înа Quartiér-â?
От майнинга ущерба гораздо меньше, чем от шифровальщиков и прочей другой malware-и
> От майнинга ущерба гораздо меньше, чем от шифровальщиков и прочей другой malware-иНа одной машине, конкретной корпоративной сети или в целом? Для офиса/хостера/облачника или опять же, в целом "по интернету"? В долгосрочной перспективе или … ?
Ну и источником статистики и прочих чисел для оценки ситуации не поделитесь?
Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?
> Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?Никак не думаю, потому что тут трясти^W смотреть статистику нужно.
Мнение/личное отношение к чему либо и реальное положение дел не обязанны вообще как-то пересекаться.
Т.е. в том же духе:
"Как вы думаете, среди жертв грозы есть те, кто не предпочел бы (несложный) перелом руки или ноги удару молнией?"
Из положительного (или отрицательного) гипотетического выбора никак не сделать верный вывод, что от удара молниeй (нападения акулы и т.д.) ущерба здоровью человеков гораздо меньше/больше, чем от перелома …
>Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)Ничего личного. Просто бизнес.
Так я не понял, этот вредоносный скрипт, кроме того, что другие майнеры удаляет, экзим до безопасной версии обновит или нет?
Если бы Ubuntu Server секьюрные апдейты не накатывал автоматически, все было бы гораздо хуже.
Правильное действие - обновиться, пусть даже и "вручную", но в качестве костыля сойдёт вот этоhttps://marius.bloggt-in-braunschweig.de/2019/06/06/exim-4-9.../
На ангельском языке есть подобная статья?
Гугл-транслейт нормально переводит.Смешной костыль :-)
это хороший, правильный костыль - нехрен вообще куда-то отправлять "почту" с подобными "адресами"
> ...потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска ...Postfix 3.4.5
Ребят, видать я попал на эту хрень, около месяца переполнялась папка exim4
Я поискал в интернете инфу, не нашел ничего лучше чем удалить пакет вообще, так как не ползуюсь им, прошла неделя, и у меня заполнены иноды, начал искать что могло быть, и как исправить, так как далек от администрирования систем, а тех поддержка на сервере, мягко говоря меня "буцает".Кто-то знает, что делать пошагово, чтобы излечиться от этой проблемы? Уже 6 часов ищу, гугл до дыр истер.
Может у кого была проблема и он как-то исправил, и может пошагово расписать решение?