Срочно обновитесь! Уязвимость в почтовом сервере Exim открывает полный доступ к серверу

UPD: Выложили утилиту, разработанную нашими системными администраторами, для профилактики и лечения последствий заражения через описанную уязвимость. Подробнее
 

Если вы используете почтовый сервер Exim версии ниже 4.92 — срочно обновитесь. Начиная с версии 4.87 по 4.91 включительно почтовый сервер содержит ошибку в коде, с помощью которой злоумышленники могут получить root-доступ к серверу, что крайне опасно. Уже получаем сообщения от пострадавших.
 

Exim установлен на более чем половине почтовых серверов в Интернете, или полмиллионе в числовом выражении. А по некоторым оценкам даже больше. Подробнее об уязвимости можно прочитать тут и тут

Как обновиться? 

На текущий момент новая версия Exim доступна для операционных систем Centos 7, Debian 9, Ubuntu 16 и Ubuntu 18. Если вы используете другую версию ОС — обезопасить свои данные можно только путём перехода на новый VDS с операционной системой из списка. 

Для обновления необходимо подключиться к серверу по SSH под пользователем c правами root и последовательно выполнить приведённые ниже команды в терминале. Будьте осторожны — внеплановое обновление несёт определённые риски. Если сомневаетесь — поручите обновление администратору вашего сервера или обратитесь к нашим специалистам в рамках пакета поддержки. 

На Centos

Убедитесь, что почтовый сервер установлен:
rpm -qa | grep exim
Результатом будет версия Exim: exim-4.88-3.el7.x86_64 
Если версия ниже 4.92, выполните обновление: 
yum update exim
Перезапустите почтовый сервер: 
service exim restart

На Debian или Ubuntu

Убедитесь, что exim установлен:
dpkg -l | grep exim
Выполните обновление:
apt-get update && apt-get install exim4
Перезапустите почтовый сервер:
service exim4 restart
После обновления в профилактических целях смените все пароли на сервере: root, обычных пользователей, пароли баз данных, почты и др.

Как понять, что сервер взломан?

Проверьте запущенные процессы командой top
На заражённых серверах наблюдается 100%-я нагрузка, создаваемая процессом [kthrotlds] Также в планировщике cron добавляется задание с ограничением прав на редактирование.

Что делать, если сервер уже взломали?

Самый безопасный способ — перенос данных на новый виртуальный сервер с Centos 7, Debian 9 или Ubuntu 16/18 — на этих ОС при установке с ISPmanager автоматически устанавливается последняя версия Exim. 

Менее безопасный — обновить на сервере Exim, сменить все пароли, выполнить проверку и чистку от вирусов — самостоятельно или с помощью профильных специалистов. В теории может помочь — но нет гарантий, что злоумышленники не спрятали бэкдоров для повторных заражений.
 

Рекомендуем как можно быстрее принять меры — чем раньше вы обновите почтовый сервер, тем меньше будет риск взлома.

Автор статьи:

Речкин Антон

Вернуться