The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Массовая атака на уязвимые почтовые серверы на основе Exim"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от opennews (??), 14-Июн-19, 09:53 
Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploitin...) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.me/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.


В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurv...) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса  Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России.


Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149),  Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su,        an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.

Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы  tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c51430250...), предоставляющий привилегированный доступ в систему через SSH.


После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем  "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.

URL: https://www.cybereason.com/blog/new-pervasive-worm-exploitin...
Новость: https://www.opennet.me/opennews/art.shtml?num=50870

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +12 +/
Сообщение от Аноним (1), 14-Июн-19, 09:53 
Какая неожиданность, ну кто бы мог подумать!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (59), 14-Июн-19, 19:01 
епжешметь!!! опять тонны кала обновлять
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –12 +/
Сообщение от Онанимус (?), 14-Июн-19, 09:54 
Вовремя я на postfix переехал!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от Аноним (-), 14-Июн-19, 11:37 
Поднял iRedMail - полет нормальный!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +22 +/
Сообщение от Некто (??), 14-Июн-19, 11:39 
>Вовремя я на postfix переехал!

Ты бы лучше вовремя обновлялся, а то теперь когда в postfix найдут уязвимость, переходить останется только на sendmail.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

42. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +4 +/
Сообщение от YetAnotherOnanym (ok), 14-Июн-19, 14:05 
Кстати, с учётов всех последних событий, sendmail - хороший способ дистанцироваться от модных мальчиков, обмазывающихся свеженьким.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

50. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от KonstantinB (ok), 14-Июн-19, 16:41 
...и писать sendmail.cf вручную. С нуля.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

58. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (58), 14-Июн-19, 17:56 
sendmail.mc вполне себе удобоварим
опять же сейчас MTA получает почту и передает в LDA на какой-нибудь dovecot который раздает почту по ящикам
Так что сложность преувеличена ))

А еще часто бывает что вообще тупо проксирует дальше на MS Exchange

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

93. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от KonstantinB (ok), 15-Июн-19, 17:04 
Если local delivery не нужна (а она не нужна в 99% случаев, на самом деле), то собирается hardened exim (https://www.exim.org/exim-html-current/doc/html/spec_html/ch...), отключается не нужный local_delivery, и все отлично.

Проблема, как всегда, в квалификации администраторов, которые делают apt-get install и "я сделяль".

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

102. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от пох. (?), 18-Июн-19, 13:53 
чего еще и в каких местах надо отключить ненужного и как вы подключаетесь к /dev/astral чтобы получить весь список еще до того как найдут очередную дырку?

не говоря уже о том, как приятно разгребать завал за админчегом, удалившим local_delivery на хостах (и пытаться угадать, чем тут еще нельзя пользоваться, потому что безопасТно)

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

101. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от пох. (?), 18-Июн-19, 13:51 
у меня нет проблемы написать его вручную с нуля, но он уже написан.
В отличие от Configure, в котором у exim из коробки какая-то мусорка, заметим.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от scorry (ok), 14-Июн-19, 17:22 
Свеженькое — это что? postfix или exim?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

61. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (61), 14-Июн-19, 19:54 
Возможно, имелось в виду "свеженькое" - это ПО того же назначения, написанное позже с целью заменить ранее существовавшее. Сабж относительно сендмейла, нжинкс относительно апача, кнот относительно бинда, и т.д.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

56. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (56), 14-Июн-19, 17:27 
> переходить останется только на sendmail

Ну, есть же еще qmail от DJB ;)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

87. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (87), 15-Июн-19, 15:44 
Cтатистически его уже практически нет. И слава богу.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

66. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –7 +/
Сообщение от Michael Shigorinemail (ok), 14-Июн-19, 20:48 
> а то теперь когда в postfix найдут уязвимость

Сделайте одолжение, сами-то сверьте их за этот век.  А то чушь непоротая, похоже, скоро станет краснокнижной...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

72. Скрыто модератором  +/
Сообщение от Некто (??), 14-Июн-19, 21:45 
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

77. Скрыто модератором  –3 +/
Сообщение от Michael Shigorinemail (ok), 15-Июн-19, 00:45 
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

73. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +4 +/
Сообщение от анонимус (??), 14-Июн-19, 21:48 
Уязвимости в постфиксе не так страшны. ЕМНИП, там пара узкоспециализированных демонов, работающих под разными юзерами. А в экзиме один бинарь с suid-битом - этакая обезьяна с гранатой. %)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

78. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от Michael Shigorinemail (ok), 15-Июн-19, 00:49 
>> Вовремя я на postfix переехал!
> Ты бы лучше вовремя обновлялся

С хорошими разработками этот зуд может и отпустить.  Что характерно, про них и подобных новостей почему-то не бывает...

(нет, у exim есть свои сильные стороны, вот только его извечная дырявость их для почти любого грамотного почтмейстера -- кроме тех, у кого выбор в этой нише примерно из exim и sendmail -- их по большей части перечёркивает; средний админ дебиана или пользователь такого vps в грамотные почтмейстеры "автоматически" не попадает -- можно спорить хоть до хрипоты, жизнь придёт и опять расставит всё по местам)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

95. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –2 +/
Сообщение от all_glory_to_the_hypnotoad (ok), 15-Июн-19, 18:32 
Postfix имеет окло идеальную архитектуру из-за чего его трудно поломать полезным образом даже при наличии багов в софте. Exim это хороший пример разработки дилетантов и дебиан - дистрибутив продвигающий откровенное дерьмо.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

83. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Tifereth (?), 15-Июн-19, 11:56 
Ну естественно, ведь для Postfix нет, не было и не будет критических уязвимостей.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от ыы (?), 14-Июн-19, 10:10 
>доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%).

Постфикс растет стремительными темпами...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от jbl (?), 14-Июн-19, 11:35 
зато эксченж стал бескомпромисно неуловимым сервером. Можно в армии и банках использовать теперь.

ЗЫ: как эти "хосты" торовские заблочить, если айпи в них не резолвятся, а iptables визит только айпи? Всякие долбежки на мои ssh порты через тор часто осуществляются или все больше с латвиских впс?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

31. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от 1 (??), 14-Июн-19, 11:58 
Exchange всегда прятался за exim или postfix.

Так что %% 30 от всего этого добра имеет бакэндом Exchange

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Sw00p aka Jerom (?), 14-Июн-19, 15:13 
https://portal.msrc.microsoft.com/en-us/security-guidance/ad...

Жирно

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

64. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Neandertalets (ok), 14-Июн-19, 20:43 
Эксч используется как основной почтовик во множестве крупных и не очень контор. Вот только стыдливо прячется за спиной более безопасных соседей.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

79. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (79), 15-Июн-19, 01:20 
перм бан после любого запроса на 22й порт+  подключение гео списков с айпи стран с баном всего азиатского говнорегиона
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

103. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от пох. (?), 18-Июн-19, 14:00 
все три перечисленных тор-наизнанку - в прекрасных Штатах и Канаде.

Либероидная шиза, держащая на (украденных с гранта, выделенного на совсем другое, как правило) мощностях тор-гейты обитает именно там, а не в китае.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

4. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (4), 14-Июн-19, 10:11 
Вообще идея интересная. Поставлю себе Exim в локалхост, чтобы майнить крипту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Sluggard (ok), 14-Июн-19, 10:12 
> осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления

Какая нелюбовь к конкурентам.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от ыы (?), 14-Июн-19, 10:20 
думается тут чисто бизнес. потому что ресурсы то тратятся...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Июн-19, 10:21 
>>уже имеющихся систем майнинга, которые удаляются в случае выявления
> Какая нелюбовь к конкурентам.

Какая нафинг [не]любовь -- борьба ж за ресурсы и эффективность.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +13 +/
Сообщение от Ordu (ok), 14-Июн-19, 10:29 
Это ж чистой воды ползучий антивирус, с почасовой оплатой в криптовалюте.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

33. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от ыы (?), 14-Июн-19, 12:40 
смешно, да...
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

67. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от Michael Shigorinemail (ok), 14-Июн-19, 20:51 
> Это ж чистой воды ползучий антивирус, с почасовой оплатой

...в киловатт-часах.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

97. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 16-Июн-19, 08:09 
>> Это ж чистой воды ползучий антивирус, с почасовой оплатой
> ...в киловатт-часах.

8-O  ???  Чубайс?!...

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

38. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от rshadow (ok), 14-Июн-19, 13:38 
Если какую-то старую помойку взломал один ботнет, то велика вероятность что другой ее тоже взломает. Скорее всего ребята уже сталкивались не однократно с тем, что ни одни они хотят помайнить и пропатчили.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

74. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (1), 14-Июн-19, 22:10 
Да едва ли не вся малварь последне лет 20 так делает.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –4 +/
Сообщение от Аноним (8), 14-Июн-19, 10:29 
Повторю вопрос оратора из предыдущей новости "Разве exim работает от рута?"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от бублички (?), 14-Июн-19, 10:51 
ну а майнить обязательно от лица root?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Аноним (12), 14-Июн-19, 10:56 
The Exim binary is normally setuid to root, which means that it gains root privilege (runs as root) when it starts execution. In some special cases (for example, when the daemon is not in use and there are no local deliveries), it may be possible to run Exim setuid to some user other than root. This is discussed in the next section. However, in most installations, root privilege is required for two things:

    To set up a socket connected to the standard SMTP port (25) when initialising the listening daemon. If Exim is run from inetd, this privileged action is not required.

    To be able to change uid and gid in order to read users’ .forward files and perform local deliveries as the receiving user or as specified in the configuration.


https://www.exim.org/exim-html-current/doc/html/spec_html/ch...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

75. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (1), 14-Июн-19, 22:11 
Ты хочешь сказать, после открытия порта он не сбрасывает привилегии?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

88. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (87), 15-Июн-19, 15:46 
Зависит от конфигурации.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

41. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от Нанобот (ok), 14-Июн-19, 13:53 
в 16й бубунте от Debian-exim, в 6м дебиане - от какого-то безымянного пользователя с uid=101 (по крайней мере у меня такое). больше мне посмотреть негде...
подозреваю, что exim от рута никто не видел, но все боятся
P.S. если кто-то хочет/может проверить у себя, вот команда: ps -C exim4 -o user
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

57. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от анонимус (??), 14-Июн-19, 17:34 
На бинарь exim обычно ставится SUID-бит. Т. е. он запускается под пользователем root, а потом делает setuid и сбрасывает привилегии. НО! в определенных случаях, типа локальной доставки, или на этапе роутинга, когда нужно прочитать какие-то файлы (.forward например) в хомяке юзера, exim сам себя ре-exec-ает и опять становится рутом.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

62. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 14-Июн-19, 20:30 
Не, для локальной доставки сразу же делается setuid/setgid на нужного хомяка.
А вот queue_runner и system_filter работают по дефолту от рута, да.

Если local delivery не нужна и отключена, можно смело снимать suid bit.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

71. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от анонимус (??), 14-Июн-19, 21:37 
Угу, и есть еще глобальная опция deliver_drop_privilege, которая запрещает получать рутовые привилегии.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

94. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 15-Июн-19, 17:05 
Да, это тоже. Есть хорошая страничка в мануале https://www.exim.org/exim-html-current/doc/html/spec_html/ch...

Но suid я все равно предпочитаю снимать от греха подальше. :-)

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

100. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Нанобот (ok), 18-Июн-19, 08:58 
>exim сам себя ре-exec-ает и опять становится рутом

хитёр, хитёр

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

51. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 14-Июн-19, 16:43 
Как настроишь, так и работает. Дефолты в разных дистрибутивах разные.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (10), 14-Июн-19, 10:40 
Известен список хостов откуда прилетает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Sluggard (ok), 14-Июн-19, 11:03 
В новости же есть:

> Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.

Ну и с других шлюзов наверняка прилетает или будет прилетать.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

68. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от Michael Shigorinemail (ok), 14-Июн-19, 20:54 
Кстати, тут стало интересно: а кто-то реально ждёт почту от торчков?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от BlackRot (?), 14-Июн-19, 10:59 
Просто обновил exim до последней версии и всё. нубасы использующие древний софт должны страдать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от EuPhobos (ok), 14-Июн-19, 11:04 
Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм, из Нубии?..
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от BlackRot (?), 14-Июн-19, 11:12 
> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
> из Нубии?..

Noob это один юнит, а noobs (если не смотреть на перевод гугл переводчика) это более одного юнита, получается некий транслит :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

52. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (52), 14-Июн-19, 16:53 
>> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
>> из Нубии?..
> Noob это один юнит, а noobs (если не смотреть на перевод гугл
> переводчика) это более одного юнита, получается некий транслит :)

Нубз и noobass не одно и тоже.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

90. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 15-Июн-19, 16:28 
>>> Кто такие нубасы? Знаю Папуасы есть из Гвинеи, а нубасы - хмм,
>>> из Нубии?..
>> Noob это один юнит, а noobs (если не смотреть на перевод гугл
>> переводчика) это более одного юнита, получается некий транслит :)
> Нубз и noobass не одно и тоже.

не не, всё верно))

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

26. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (-), 14-Июн-19, 11:41 
Вот это ты отсталый, словно вчера в интернет зашел.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от ыы (?), 14-Июн-19, 11:11 
о дырке с этом обновлении вам сообщат на следующей неделе.. когда намайнят... будьте на линии...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 14-Июн-19, 11:14 
до того времени выйдет новая версия, а потом сообщат об уязвимости в предыдущей.
мониторинг никто не отменял :) тьху тьху, ниразу никаких проблем (главное весту не юзать) уж больно её частенько кто-то ломает.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от jbl (?), 14-Июн-19, 11:49 
да кому ваша лада нужна?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

91. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 15-Июн-19, 16:29 
> да кому ваша лада нужна?

она не моя, но нужна и оооочень многим. Умойтесь и прозрейте, вы не один на свете.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

19. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Аноним (10), 14-Июн-19, 11:15 
Древний exim не подвержен, а вот новый как оказалось наоборот
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 14-Июн-19, 11:16 
Эта уязвимость затрагивает версии от 4.87 до 4.91
каким пользуетесь вы?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (10), 14-Июн-19, 12:04 
4.80 и 4.84
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

63. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 14-Июн-19, 20:31 
У меня 4.82 и я не страдаю :)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

92. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 15-Июн-19, 16:31 
> У меня 4.82 и я не страдаю :)

хорошо будет если ваше время не придёт :)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

98. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 16-Июн-19, 22:13 
у меня suid бит снят, так что максимум под Debian-exim что-нибудь запустят, не так уж страшно
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

99. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от BlackRot (?), 16-Июн-19, 23:28 
> у меня suid бит снят, так что максимум под Debian-exim что-нибудь запустят,
> не так уж страшно

Пронесёт. Скоро уже и Debian 10 зарелизится, а я всё жду CentOS 8, мне нравится большое количество репов под него со свежими версиями софта, к примеру remi и rpmfusion, а под дебиан не удалось ничего похожего найти и популярного

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

81. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от vantoo (ok), 15-Июн-19, 01:47 
Просто проверил все ли обновилось, так как Бубунта-Сервер секьюрные апдейты накатывает автоматически.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –2 +/
Сообщение от Аноним (21), 14-Июн-19, 11:23 
> Microsoft Exchange - 0.57% (0.85%)

Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают. Как объяснить? Или это из той же оперы, что доля Linux якобы меньше 1%, хотя по независимым данным, она около 20%.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Аноним (-), 14-Июн-19, 11:40 
Не 20%, но 5% точно есть.

https://www.w3schools.com/browsers/browsers_os.asp

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

44. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (44), 14-Июн-19, 14:25 
Так 20% это ж летом
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

46. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от forum reader (?), 14-Июн-19, 15:17 
Думаешь, на зимних каникулах меньше?
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

27. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от ыы (?), 14-Июн-19, 11:45 
>Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают.

так и есть.

>Как объяснить?

Самая популярная модель в России среди автомобилей это Lada Granta.
а посмотришь на парковку возле дома- джипы джипы джипы...
Как это объяснить?

Самое популярное - это не самое популярное в солидных кругах.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

69. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Michael Shigorinemail (ok), 14-Июн-19, 20:57 
О-оо, ща нам расскажут сказку про "популярность" ексчанжей с шарепойнтами, как она достигается и во что выливается, ага.

PS: гусары, про CERN -- молчать!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Июн-19, 11:53 
>> Microsoft Exchange - 0.57% (0.85%)
> Вот надо же. А судя по сообщениям на форумах, заявкам на госзакупках
> и прочим источникам, все только на нем работают. Как объяснить?

1. Вражеская пропаганда Микрософт.  Все врут.  [Даже твои собственные суждения -- микрософт уже проник в голову!]

2. Оно заботливо прикрывают, для безопасности, вишь ты!,  от большого-и-страшного интернета релеями на более обычных-бесплатных linux|bsd почтовиках.  Они (см.сабж) не такие дырявые, наверное.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Июн-19, 11:55 
>>> Microsoft Exchange - 0.57% (0.85%)
> 2. Оно заботливо прикрывают, для безопасности, вишь ты!,  от большого-и-страшного интернета
> релеями на более обычных-бесплатных linux|bsd почтовиках.  Они (см.сабж) не такие
> дырявые, наверное.

А, да!  Они ещё  _не_тормозят_ и не перестают принимать Почты при 3000 артефактах в очереди.  Обычно....

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

70. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от лютый жабист__ (?), 14-Июн-19, 21:08 
>судя по сообщениям на форумах, заявкам на госзакупках и прочим источникам, все только на нем работают. Как объяснить

MX на жирном корпоративном exchange обычно какой-нить ironport или другая железка, из инета не видно.

а типичный exim или postfix из статистики это пустой как барабан VPS с полгигом рамы

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от соседemail (?), 14-Июн-19, 12:54 
Если я правильно понял - на OBSD эта фича работать не будет, если  Securelevel выставлен в правильный режим и критичные файлы запрещены для изменения ? (crontab, passwd)?.Или лучше Snort+snortsam(например) для поиска команды run на 25 порту?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от Васян (?), 14-Июн-19, 13:41 
Зачем ты на обсд exim используешь?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от YetAnotherOnanym (ok), 14-Июн-19, 14:23 
Чтобы довести до слёз тех, кто не любит BSD, очевидно же!
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от соседemail (?), 14-Июн-19, 15:27 
Так исторически сложилось у нас, да и Exim удобен для работы , умеет больше чем Sendmail,Postfix,qmail... А то что он на опенке стоит - даже лучше.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

85. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Вован (??), 15-Июн-19, 12:07 
> Sendmail,Postfix,qmail

Думаю, Васян всё же подразумевал не их, а opensmtpd.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

39. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним (39), 14-Июн-19, 13:40 
> В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%)

Эти люди не слышали про опцию smtp_banner

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +2 +/
Сообщение от kiwinix (?), 14-Июн-19, 16:28 
Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним84701 (ok), 14-Июн-19, 17:01 
> Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)

Хм, что это за чудесный край где электричество и аренда помещения бесплатны (как впрочем и сами железки, ресурс и мощность которых так же достаются "хацкеру")?
Не местечки ли Podt d'Îvuannyîah и Еntré-Solèah в королевстве M'amk-Înа Quartiér-â?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

65. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +3 +/
Сообщение от anonymous (??), 14-Июн-19, 20:46 
От майнинга ущерба гораздо меньше, чем от шифровальщиков и прочей другой malware-и
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

86. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним84701 (ok), 15-Июн-19, 14:27 
> От майнинга ущерба гораздо меньше, чем от шифровальщиков и прочей другой malware-и

На одной машине, конкретной корпоративной сети или в целом? Для офиса/хостера/облачника или опять же, в целом "по интернету"? В долгосрочной перспективе или … ?
Ну и источником статистики и прочих чисел для оценки ситуации  не поделитесь?

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

107. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от анонимус (??), 24-Июн-19, 20:11 
Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

108. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Аноним84701 (ok), 24-Июн-19, 21:19 
> Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вместо него майнер?

Никак не думаю, потому что тут трясти^W смотреть статистику нужно.
Мнение/личное отношение к чему либо и реальное положение дел не обязанны вообще как-то пересекаться.

Т.е. в том же духе:
"Как вы думаете, среди жертв грозы есть те, кто не предпочел бы (несложный) перелом руки или ноги удару молнией?"
Из положительного (или отрицательного) гипотетического выбора никак не сделать верный вывод, что от удара молниeй (нападения акулы и т.д.) ущерба здоровью человеков гораздо меньше/больше, чем от перелома …

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

60. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (-), 14-Июн-19, 19:40 
>Хацкеры теперь лояльные стали)) не воруют ничего.. просто немножко майнят крипту. Безобидненько)

Ничего личного. Просто бизнес.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

80. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +1 +/
Сообщение от Аноним (80), 15-Июн-19, 01:21 
Так я не понял, этот вредоносный скрипт, кроме того, что другие майнеры удаляет, экзим до безопасной версии обновит или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от vantoo (ok), 15-Июн-19, 01:49 
Если бы Ubuntu Server секьюрные апдейты не накатывал автоматически, все было бы гораздо хуже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Tifereth (?), 15-Июн-19, 11:58 
Правильное действие - обновиться, пусть даже и "вручную", но в качестве костыля сойдёт вот это

https://marius.bloggt-in-braunschweig.de/2019/06/06/exim-4-9.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от vantoo (ok), 15-Июн-19, 16:26 
На ангельском языке есть подобная статья?
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

96. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от KonstantinB (ok), 15-Июн-19, 21:03 
Гугл-транслейт нормально переводит.

Смешной костыль :-)

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

104. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от пох. (?), 18-Июн-19, 14:03 
это хороший, правильный костыль - нехрен вообще куда-то отправлять "почту" с подобными "адресами"

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

105. "Массовая атака на уязвимые почтовые серверы на основе Exim"  –1 +/
Сообщение от Ilya Indigo (ok), 18-Июн-19, 16:21 
> ...потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска ...

Postfix 3.4.5

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Массовая атака на уязвимые почтовые серверы на основе Exim"  +/
Сообщение от Adelanteemail (??), 21-Июн-19, 14:24 
Ребят, видать я попал на эту хрень, около месяца переполнялась папка exim4
Я поискал в интернете инфу, не нашел ничего лучше чем удалить пакет вообще, так как не ползуюсь им, прошла неделя, и у меня заполнены иноды, начал искать что могло быть, и как исправить, так как далек от администрирования систем, а тех поддержка на сервере, мягко говоря меня "буцает".

Кто-то знает, что делать пошагово, чтобы излечиться от этой проблемы? Уже 6 часов ищу, гугл до дыр истер.

Может у кого была проблема и он как-то исправил, и может пошагово расписать решение?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру