[Из песочницы] Срочно обновляйте exim до 4.92 — идёт активное заражение
Коллеги, кто использует на своих почтовых серверах Exim версий 4.87…4.91 — срочно обновляйтесь до версии 4.92, предварительно остановив сам Exim во избежание взлома.
Информация о проблеме на Opennet
Информация на сайте Exim
Скрипт инсталлятора трояна нашел тут (centos): /usr/local/bin/nptd… не выкладываю во избежание, но если кто заражен и разбирается в shell скриптах, пожалуйста изучите внимательнее.
Информация о проблеме на Opennet
Информация на сайте Exim
Сейчас описанная там проблема активно эксплуатируется (ботом, надо полагать), заметил у себя на некоторых серверах (бегавших на 4.91) поражение.
Заражение заметно так: [kthrotlds] грузит процессор; на слабой VDS на 100%, на серваках слабее, но заметно.
После заражения зловред удаляет записи в крон, прописывая там только себя в запуском каждые 4 минуты.
При этом файл кронтаба делает immutable. Это можно снять например так и удалить его (vim):
chattr -i /var/spool/cron/root
crontab -edd
:wqОднако какой-то из активных процессов перезаписывает снова, разбираюсь.
При этом висит куча активных wget’ов на адреса из скрипта инсталлятора (см. ниже), я их пока сбиваю так, но они снова запускаются:
ps aux | grep wge[t] ; echo "Stopping..." ; kill -9 `ps aux | grep wge[t] | awk '{print $2}'` ; echo "Done, run again if there are any entries still listed: "; ps aux | grep wge[t]
Скрипт инсталлятора трояна нашел тут (centos): /usr/local/bin/nptd… не выкладываю во избежание, но если кто заражен и разбирается в shell скриптах, пожалуйста изучите внимательнее.
Дополню по мере обновления информации.
