ISPmanager - найдена и исправлена уязвимость в ПО
В почтовом сервере Exim в версиях с 4.87 по 4.91 включительно обнаружена критическая уязвимость безопасности, позволяющая выполнить код на сервере с правами root. Это значит, что злоумышленник может получить доступ к серверу пользователя Exim. Так как ISPmanager работает с Exim, владельцы панели тоже под угрозой.
Как защититься
Чтобы защитить сервер, нужно обновить пакеты Exim до последней актуальной версии для вашей операционной системы.
ISPsystem устранили данную уязвимость во всех панелях с версии 5.178.2 и новее, обновите пожалуйста ISPmanager.
Ручное обновление, которое позволяет обновлять программное обеспечение в нужное время. Чтобы обновить все пакеты, установленные из репозиториев ISPsystem, введите в терминале команду:
/usr/local/mgr5/sbin/pkgupgrade.sh coremanager
Настройка автоматического обновления ISPmanager
Позволяет обновлять программное обеспечение по расписанию. При включении автоматического обновления ежедневно запускается задание в планировщике cron. По умолчанию задание запускается в 03:10 ночи по времени сервера.
Для настройки автоматического обновления перейдите в "Настройки → "Настройки системы" под пользователем root.
Укажите:
- Обновлять ПО автоматически — режим работы автоматического обновления:
- не обновлять — автоматическое обновление отключено;
- обновлять продукты ISPsystem — автоматическое обновление программного обеспечения ISPsystem. Затрагиваются только пакеты, установленные из репозиториев ISPsystem;
- обновлять все пакеты системы — автоматическое обновление всех пакетов операционной системы.
CentOS - проверка
Убедитесь, что почтовый сервер установлен: rpm -qa | grep exim
Результатом будет версия Exim: exim-4.88-3.el7.x86_64
Если версия ниже 4.92, выполните обновление с помощью команды: yum update exim
Перезапустите почтовый сервер: service exim restart
Ubuntu/Debian - проверка
Убедитесь, что exim установлен: dpkg -l | grep exim
Выполните обновление: apt-get update && apt-get install exim4
Перезапустите почтовый сервер: service exim4 restart
После обновления в профилактических целях смените все пароли на сервере: root, обычных пользователей, пароли баз данных и т.п.
Как понять, что сервер взломан?
Проверьте запущенные процессы командой top. На заражённых серверах наблюдается 100%-я нагрузка, создаваемая процессом [kthrotlds]. В планировщике cron добавляется задание с ограничением прав на редактирование.