Linuxos (web)szervereket támad az új Lilocked (Lilu) ransomware

 ( trey | 2019. szeptember 10., kedd - 14:38 )

A jó öreg ransomware "üzletág" új területet talált magának. Az eddigi adatok alapján úgy fest, hogy ezúttal Linux szervereket támad a Lilocked (Lilu) ransomware. A ZDNet szerint eddig kb. 6700 fertőzött szervert indexelt be a Google, de az érintett szerverek száma ennél nagyobb lehet. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Biztonsági lyuk vagy rosszul konfigurált webszerver?

--
https://iotguru.live

Kapcsolódhat:
CVE-2019-15846
Exim before 4.92.2 allows remote attackers to execute arbitrary code as root via a trailing backslash.
CVSS Score 10.0
If your Exim server accepts TLS connections, it is vulnerable. This does not depend on the TLS libray, so both, GnuTLS and OpenSSL are affected.

Update: megerősítve: https://twitter.com/maztec/status/1158250770187182080

Aham, szóval akkor ez nem is webszerver rés.

--
https://iotguru.live

persze, hogy nem, de így jobban hangzik.

--
GPLv3-as hozzászólás.

Akár az is lehet, a tweet alapján csak azt lehet feltételezni, hogy exim buggal IS terjed.

Hát igen tizen sok éve már akkor is azért lett postfix mert exim az ilyen dolgokat tudott produkálni :D Most is azt mondom, hogy az exim nem is MTA hanem inkább MTA-nak álcázott backdoor, annyi ilyen exploit van rá.

Fedora 30, Thinkpad x220

Mert lusták és fent hagyják a default (Exim) MTA-t.
Ha a debilány postfix-szel érkezne, picit más lenne az arány.

A Debian nagyjából 20 százalékos aránya nem ezt támasztja alá...

--
https://iotguru.live

Egy szervernek szánt rendszer telepítője ügyesen megkérdezi, mit szeretnél használni. Az a 20% az Eximet akarta.

"Exim before 4.92.2 allows remote attackers to execute arbitrary code as root via a trailing backslash."

Dehát az a biztonságos, ha az embernek saját mail szervere van!!! ;-)

Roppant érdekes.

2 szerveremet is eximen keresztűl törték meg, s csináltak egy fasza btc minert [kthrotlds]
A probléma csak az volt hogy egyk szerveren sincs exim... fogalmam sincs hogyan nyaltabe az explot.

Apache PHP?

Miért gondolod, hogy eximen keresztül törték meg, ha nincs is exim a gépeken?
Rendszeresen frissített gépek voltak? Milyen feladatot láttak el? Webmin volt a gépeken?
Számtalan más módon is be lehet jutni egy gépbe. Jellemzően egy gépen futó szolgáltatáson keresztül egy távolról kihasználható sebezhetőséggel kapnak felhasználói jogot(webmin, exim, zimbra, apache, tomcat, proftpd...stb.), majd innen lépnek tovább root jogra valamilyen helyi sebezhetőséget kihasználva.

/joke on

HOAX, linuxra nincs vírus

/joke off

Hír elolvas, pánik kitör.
Igenám, de az összes debian-on vagy eleve levelezésre lett beállítva postfix-szel, vagy turnkey konténer,
ahol exim eltávolítva, postfix-szel helyettesítve alapból (by turnkey)...
Még szimpatikusabb lett a turnkey a szememben :)

Mukk

Nincs is :) Legalábbis _ez_ nem vírus.

Ne olyan gyorsan! ;)))
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

Senki nem állította, hogy nincs. De jóval kisebb a jelentősége Linuxon a kártevőknek, kevés van, marha gyorsan is foltozzák az alapul fekvő biztonsági réseket. Ennek ellenére néhány gyatrán frissített szervert érinthet. Desktop felhasználókat nem szokott, ha rendesen frissítenek.

Ezt a Linuxra nincs vírust csak azoknak szoktuk mondogatni (úgy értve, hogy számukra nem releváns), akik Windowsról jönnek és ragaszkodnak Linux alatt is az aktív vírusirtóhoz. Na, olyan nem kell desktop Linuxra. Ez a Lilocked is csak exim-es szervereket támad, és szeptember 6-án már befoltozták. Csak aki cseszik normálisan frissíteni, az magára vessen. A frissítés nem csak Windowson fontos.

Summa summárum, desktop felhasználóknak továbbra sem fogok Linuxon vírusirtózást javasolni. Hiába keresőzöl össze még 10 ilyen hírt.


No keyboard detected... Press F1 to run the SETUP

> Senki nem állította, hogy nincs.

De, pontosan hogy ez a (tév)hit keringett jó sokáig pont az általad elmondottak lebutításából adódóan.

Szerk.: dupla