مشکل امنیتی exim (دریافت پیوندک)

نوشته شده در تاریخ: 22/03/98 | نویسنده:هادی شهیدی

بر اساس گزارش اخیر در رابطه با مشکل امنیتی Exim این حفره امنیتی مشکلات متعددی را برای سرور های دارای نرم افزار exim ایجاد کرده است و میلیون ها سرور تحت تاثیر این موضوع قرار گرفته اند. این نرم افزار بر روی سرور های سی پنل نیز به شکل گسترده استفاده میشود و لازم است در این خصوص اقدامات لازم صورت گیرد.

چگونه ورژن Exim را در سی پنل کنترل کنیم ؟

با استفاده از این دستور میتوانیم نسخه Exim را کنترل کنیم و در صورتی که خارج از این محدوده قرار داشت لازم است بروز رسانی صورت گیرد.

کنترل ورژن :

اطلاعات بیشتر در خصوص ورژن را میتوانید از این لینک در اختیار داشته باشید :

در صورتی که سرور آسیب دیده باشد :‌

موارد زیر تاکنون در این سرور ها مشاهده شده است و پیشنهاد میگردد انجام شود

۱) باید سرویس cron را متوقف نمایید چرا که این سرویس در crontab شما تغییراتی ایجاد کرده است.

service crond stop

۲)‌ احتمالا سرویس زیر در حافظه سرور در حال اجراست و لازم است آن را متوقف نمایید

pkill -9 -f kthrotlds

برای اطمینان از اینکه از حافظه حذف شده است از دستور زیر استفاده نمایید

ps aux | grep kthrotlds

 

۳)‌ فایل زیر را حذف نمایید این فایل همان فایلی است که در حافظه سرور شما بارگذاری میشود

 

/usr/bin/[kthrotlds]

 

۴) کران جاب های آلوده را با دستور زیر میتوانید پیدا کنید

grep -r passwd /var/spool/cron*

 

۵)

مسیر های زیر را برای یافتن کدهای مخرب رسد کنید :‌

برای مشاهده فایل های تغییر یافته در ۵ روز گذشته چنین دستوری میتواند کمک کند

 

نمونه کد مخرب مشابه زیر است

 

 

۶) مسیر های زیر را به دقت بررسی و authorized_keys را حذف نمایید

 

 

۷) این فایل ها مشکوک هستند و پس از اطمینان آنها را خذف نمایید

۸) فایل /etc/rc.local همانطوری که میدانید فایل مهمی است این فایل را با دقت برای دستور autostart جستجو کنید

 

۹)‌لازم است بعد از اعمال همه تغییرات سرور را ریبوت کنید.