OpenForum RSS: Массовая атака на уязвимые почтовые серверы на основе Exim https://www.opennet.dev/openforum/vsluhforumID3/117627.html Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.<br><br><br><br><br><br><br>В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего акту Массовая атака на уязвимые почтовые серверы на основе Exim (Аноним84701) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#108 Mon, 24 Jun 2019 18:19:40 GMT &gt; Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?<br><br>Никак не думаю, потому что тут трясти^W смотреть статистику нужно.<br>Мнение/личное отношение к чему либо и реальное положение дел не обязанны вообще как-то пересекаться.<br> <br>Т.е. в том же духе: <br>"Как вы думаете, среди жертв грозы есть те, кто не предпочел бы (несложный) перелом руки или ноги удару молнией?"<br>Из положительного (или отрицательного) гипотетического выбора никак не сделать верный вывод, что от удара молниeй (нападения акулы и т.д.) ущерба здоровью человеков гораздо меньше/больше, чем от перелома &#8230;<br><br> Массовая атака на уязвимые почтовые серверы на основе Exim (анонимус) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#107 Mon, 24 Jun 2019 17:11:33 GMT Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?<br> Массовая атака на уязвимые почтовые серверы на основе Exim (Adelante) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#106 Fri, 21 Jun 2019 11:24:03 GMT Ребят, видать я попал на эту хрень, около месяца переполнялась папка exim4<br>Я поискал в интернете инфу, не нашел ничего лучше чем удалить пакет вообще, так как не ползуюсь им, прошла неделя, и у меня заполнены иноды, начал искать что могло быть, и как исправить, так как далек от администрирования систем, а тех поддержка на сервере, мягко говоря меня "буцает".<br><br>Кто-то знает, что делать пошагово, чтобы излечиться от этой проблемы? Уже 6 часов ищу, гугл до дыр истер.<br><br>Может у кого была проблема и он как-то исправил, и может пошагово расписать решение?<br> Массовая атака на уязвимые почтовые серверы на основе Exim (Ilya Indigo) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#105 Tue, 18 Jun 2019 13:21:24 GMT &gt; ...потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска ...<br><br>Postfix 3.4.5<br> Массовая атака на уязвимые почтовые серверы на основе Exim (пох.) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#104 Tue, 18 Jun 2019 11:03:31 GMT это хороший, правильный костыль - нехрен вообще куда-то отправлять "почту" с подобными "адресами"<br><br> Массовая атака на уязвимые почтовые серверы на основе Exim (пох.) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#103 Tue, 18 Jun 2019 11:00:32 GMT все три перечисленных тор-наизнанку - в прекрасных Штатах и Канаде.<br><br>Либероидная шиза, держащая на (украденных с гранта, выделенного на совсем другое, как правило) мощностях тор-гейты обитает именно там, а не в китае.<br><br> Массовая атака на уязвимые почтовые серверы на основе Exim (пох.) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#102 Tue, 18 Jun 2019 10:53:01 GMT чего еще и в каких местах надо отключить ненужного и как вы подключаетесь к /dev/astral чтобы получить весь список еще до того как найдут очередную дырку?<br><br>не говоря уже о том, как приятно разгребать завал за админчегом, удалившим local_delivery на хостах (и пытаться угадать, чем тут еще нельзя пользоваться, потому что безопасТно)<br> Массовая атака на уязвимые почтовые серверы на основе Exim (пох.) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#101 Tue, 18 Jun 2019 10:51:20 GMT у меня нет проблемы написать его вручную с нуля, но он уже написан.<br>В отличие от Configure, в котором у exim из коробки какая-то мусорка, заметим.<br><br> Массовая атака на уязвимые почтовые серверы на основе Exim (Нанобот) https://www.opennet.dev/openforum/vsluhforumID3/117627.html#100 Tue, 18 Jun 2019 05:58:47 GMT &gt;exim сам себя ре-exec-ает и опять становится рутом<br><br>хитёр, хитёр<br>