Уязвимость в почтовом сервере Exim версий 4.84-4.91
На днях стало известно о том, что многие версии популярного почтового сервера Exim подвержены уязвимости, способной нанести существенный вред Linux-серверу.
Проблема касается версий Exim с 4.87 по 4.91, версия 4.92 уже безопасна. Также проблема касается ручных сборок Exim, если сборка велась с опцией EXPERIMENTAL_EVENT.
Подробная информация о данной уязвимости размещена здесь.
Как узнать, заражён ли сервер?
Если на Вашем сервере работает Exim указанных версий, то проверьте:
- Запущенные процессы с помощью команды
top
, на заражённых серверах резко возрастает потребление CPU, в основном, процессомkthrotlds
. - Задачи Cron, на заражённых серверах обнаружены задания, которых ранее не было, именно они не дают легко вылечить сервер.
- Наличие в файле
/root/.ssh/authorized_keys
подозрительных ключей. - В параметрах SSH-сервера появляются изменения. Вирус изменяет значения параметров
PermitRootLogin
,RSAAuthentication
,PubkeyAuthentication
,UsePAM
,PasswordAuthentication
наyes
. Если параметры ранее не были настроены, то вирус дописывает их в конец файла/etc/ssh/sshd_config
.
Что делать?
Обновление Exim
В первую очередь нужно обновить Exim с помощью пакетного менеджера Вашей ОС, либо средствами панели управления.
Для CentOS 6:
rpm -Uvh https://kojipkgs.fedoraproject.org//packages/exim/4.92/1.el6/x86_64/exim-4.92-1.el6.x86_64.rpm
yum reinstall -y curl
Для CentOS 7:
yum install -y exim
yum reinstall -y curl
Для Debian, Ubuntu:
apt-get update
apt-get -y install exim4
apt-get -y --reinstall curl
Для DirectAdmin:
cd /usr/local/directadmin/custombuild
./build update
./build exim
./build curl
Comments ()