На днях стало известно о том, что многие версии популярного почтового сервера Exim подвержены уязвимости, способной нанести существенный вред Linux-серверу.

Проблема касается версий Exim с 4.87 по 4.91, версия 4.92 уже безопасна. Также проблема касается ручных сборок Exim, если сборка велась с опцией EXPERIMENTAL_EVENT.

Подробная информация о данной уязвимости размещена здесь.


Как узнать, заражён ли сервер?

Если на Вашем сервере работает Exim указанных версий, то проверьте:

  • Запущенные процессы с помощью команды top, на заражённых серверах резко возрастает потребление CPU, в основном, процессом kthrotlds.
  • Задачи Cron, на заражённых серверах обнаружены задания, которых ранее не было, именно они не дают легко вылечить сервер.
  • Наличие в файле /root/.ssh/authorized_keys подозрительных ключей.
  • В параметрах SSH-сервера появляются изменения. Вирус изменяет значения параметров PermitRootLogin, RSAAuthentication, PubkeyAuthentication, UsePAM, PasswordAuthentication на yes. Если параметры ранее не были настроены, то вирус дописывает их в конец файла /etc/ssh/sshd_config.

Что делать?

Обновление Exim

В первую очередь нужно обновить Exim с помощью пакетного менеджера Вашей ОС, либо средствами панели управления.

Для CentOS 6:

rpm -Uvh https://kojipkgs.fedoraproject.org//packages/exim/4.92/1.el6/x86_64/exim-4.92-1.el6.x86_64.rpm
yum reinstall -y curl

Для CentOS 7:

yum install -y exim
yum reinstall -y curl

Для Debian, Ubuntu:

apt-get update
apt-get -y install exim4
apt-get -y --reinstall curl

Для DirectAdmin:

cd /usr/local/directadmin/custombuild
./build update
./build exim
./build curl