Exim exploit [censored]!!!

Взломано 3 сервера с установленным exim. Прошу срочно всех обновить exim.

Об уязвимости в exim чтаем тут.
Был найден bash скрипт слушающий на порту 1144 IPv4, у друга такой же - на неизвестном порту уже IPv6.

В теле бинарника найден такой комментарий:


Can't fork subshell, there is no way...
/var/tmp/bin/shCan't execve shell!
USAGE: %s [PORT=1230]
Starting backdoor daemon...
socketsetsockoptbindlistengetsocknameListening to port %d
[censored]: Can't fork child (%d)
Done, pid=%d
bashPassword: aslIncorrect password.


.-= Backdoor made by Mironov =-.
.-= Running =-.


Само тело експлойта под катом...

Продолжить чтение

Комментарии


root сказал:
Беда, 3 продакшен сервака...

root сказал:
сегодня ребутнул тачку и вот что обнаружил

lsof -p 1943
COMMAND  PID USER   FD   TYPE DEVICE    SIZE   NODE NAME
named   1943 root  cwd    DIR  253,0    4096      2 /
named   1943 root  rtd    DIR  253,0    4096      2 /
named   1943 root  txt    REG  253,0   23399 681423 /sbin/named
named   1943 root  mem    REG  253,0  125736 333613 /lib/ld-2.5.so
named   1943 root  mem    REG  253,0 1602320 324496 /lib/libc-2.5.so
named   1943 root    0u   CHR    1,3           1012 /dev/null
named   1943 root    1u   CHR    1,3           1012 /dev/null
named   1943 root    2u   CHR    1,3           1012 /dev/null
named   1943 root    3u  IPv4   4682            TCP *:fuscript (LISTEN)


Файл /sbin/named спокойно себе валялся, дата изменения январь прошлого года... так что не показатель...

Вы должны войти, чтобы отправлять комментарии на этот сайт - пожалуйста, либо войдите, либо - если вы еще не зарегистрированы - [щелкните] здесь , чтобы зарегистрироваться