forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Массовая атака на уязвимые почтовые серверы на основе Exim, opennews (??), 14-Июн-19, (0) [смотреть все]

Какая неожиданность, ну кто бы мог подумать , Аноним (1), 09:53 , 14-Июн-19, (1) +12 //

епжешметь опять тонны кала обновлять, Аноним (59), 19:01 , 14-Июн-19, (59) +1

Вовремя я на postfix переехал , Онанимус (?), 09:54 , 14-Июн-19, (2) –12 //

Поднял iRedMail - полет нормальный , Аноним (-), 11:37 , 14-Июн-19, (23) +3
Ты бы лучше вовремя обновлялся, а то теперь когда в postfix найдут уязвимость, п, Некто (??), 11:39 , 14-Июн-19, (24) +22 //

Кстати, с учётов всех последних событий, sendmail - хороший способ дистанцироват, YetAnotherOnanym (ok), 14:05 , 14-Июн-19, (42) +4 //

и писать sendmail cf вручную С нуля , KonstantinB (ok), 16:41 , 14-Июн-19, (50) +3

sendmail mc вполне себе удобоваримопять же сейчас MTA получает почту и передает , Аноним (58), 17:56 , 14-Июн-19, (58) +1

Если local delivery не нужна а она не нужна в 99 случаев, на самом деле , то с, KonstantinB (ok), 17:04 , 15-Июн-19, (93) –1

чего еще и в каких местах надо отключить ненужного и как вы подключаетесь к dev, пох. (?), 13:53 , 18-Июн-19, (102)

у меня нет проблемы написать его вручную с нуля, но он уже написан В отличие от , пох. (?), 13:51 , 18-Июн-19, (101)

Свеженькое 8212 это что postfix или exim , scorry (ok), 17:22 , 14-Июн-19, (54)

Возможно, имелось в виду свеженькое - это ПО того же назначения, написанное по, Аноним (61), 19:54 , 14-Июн-19, (61)

Ну, есть же еще qmail от DJB , Аноним (56), 17:27 , 14-Июн-19, (56) //

Cтатистически его уже практически нет И слава богу , Аноним (87), 15:44 , 15-Июн-19, (87) +1

Сделайте одолжение, сами-то сверьте их за этот век А то чушь непоротая, похоже, Michael Shigorin (ok), 20:48 , 14-Июн-19, (66) –7 //

Скрыто модератором, Некто (??), 21:45 , 14-Июн-19, (72)

Скрыто модератором, Michael Shigorin (ok), 00:45 , 15-Июн-19, (77) –3

Уязвимости в постфиксе не так страшны ЕМНИП, там пара узкоспециализированных де, анонимус (??), 21:48 , 14-Июн-19, (73) +4
С хорошими разработками этот зуд может и отпустить Что характерно, про них и п, Michael Shigorin (ok), 00:49 , 15-Июн-19, (78) –1
Postfix имеет окло идеальную архитектуру из-за чего его трудно поломать полезным, all_glory_to_the_hypnotoad (ok), 18:32 , 15-Июн-19, (95) –2

Ну естественно, ведь для Postfix нет, не было и не будет критических уязвимостей, Tifereth (?), 11:56 , 15-Июн-19, (83)

Постфикс растет стремительными темпами , ыы (?), 10:10 , 14-Июн-19, (3) +1 //

зато эксченж стал бескомпромисно неуловимым сервером Можно в армии и банках исп, jbl (?), 11:35 , 14-Июн-19, (22) –1 //

Exchange всегда прятался за exim или postfix Так что 30 от всего этого добра , 1 (??), 11:58 , 14-Июн-19, (31) –1
https portal msrc microsoft com en-us security-guidance advisory CVE-2019-0586, Sw00p aka Jerom (?), 15:13 , 14-Июн-19, (45) +1
Эксч используется как основной почтовик во множестве крупных и не очень контор , Neandertalets (ok), 20:43 , 14-Июн-19, (64) +2
перм бан после любого запроса на 22й порт подключение гео списков с айпи стран, Аноним (79), 01:20 , 15-Июн-19, (79) //

все три перечисленных тор-наизнанку - в прекрасных Штатах и Канаде Либероидная ш, пох. (?), 14:00 , 18-Июн-19, (103)

Вообще идея интересная Поставлю себе Exim в локалхост, чтобы майнить крипту , Аноним (4), 10:11 , 14-Июн-19, (4) +1
Какая нелюбовь к конкурентам , Sluggard (ok), 10:12 , 14-Июн-19, (5) +2 //

думается тут чисто бизнес потому что ресурсы то тратятся , ыы (?), 10:20 , 14-Июн-19, (6)
Какая нафинг не любовь -- борьба ж за ресурсы и эффективность , Andrey Mitrofanov_N0 (??), 10:21 , 14-Июн-19, (7) +3
Это ж чистой воды ползучий антивирус, с почасовой оплатой в криптовалюте , Ordu (ok), 10:29 , 14-Июн-19, (9) +13 //

смешно, да , ыы (?), 12:40 , 14-Июн-19, (33) +1
в киловатт-часах , Michael Shigorin (ok), 20:51 , 14-Июн-19, (67) –1 //

8-O Чубайс , Andrey Mitrofanov_N0 (??), 08:09 , 16-Июн-19, (97)

Если какую-то старую помойку взломал один ботнет, то велика вероятность что друг, rshadow (ok), 13:38 , 14-Июн-19, (38) +2
Да едва ли не вся малварь последне лет 20 так делает , Аноним (1), 22:10 , 14-Июн-19, (74) +1

Повторю вопрос оратора из предыдущей новости Разве exim работает от рута , Аноним (8), 10:29 , 14-Июн-19, (8) –4 //

ну а майнить обязательно от лица root , бублички (?), 10:51 , 14-Июн-19, (11)
The Exim binary is normally setuid to root, which means that it gains root priv, Аноним (12), 10:56 , 14-Июн-19, (12) +2 //

Ты хочешь сказать, после открытия порта он не сбрасывает привилегии , Аноним (1), 22:11 , 14-Июн-19, (75) //

Зависит от конфигурации , Аноним (87), 15:46 , 15-Июн-19, (88)

в 16й бубунте от Debian-exim, в 6м дебиане - от какого-то безымянного пользовате, Нанобот (ok), 13:53 , 14-Июн-19, (41) –1 //

На бинарь exim обычно ставится SUID-бит Т е он запускается под пользователем , анонимус (??), 17:34 , 14-Июн-19, (57) +3 //

Не, для локальной доставки сразу же делается setuid setgid на нужного хомяка А в, KonstantinB (ok), 20:30 , 14-Июн-19, (62)

Угу, и есть еще глобальная опция deliver_drop_privilege, которая запрещает получ, анонимус (??), 21:37 , 14-Июн-19, (71)

Да, это тоже Есть хорошая страничка в мануале https www exim org exim-html-cu, KonstantinB (ok), 17:05 , 15-Июн-19, (94)

хитёр, хитёр, Нанобот (ok), 08:58 , 18-Июн-19, (100) +1

Как настроишь, так и работает Дефолты в разных дистрибутивах разные , KonstantinB (ok), 16:43 , 14-Июн-19, (51)

Известен список хостов откуда прилетает , Аноним (10), 10:40 , 14-Июн-19, (10) //

В новости же есть Ну и с других шлюзов наверняка прилетает или будет прилетать , Sluggard (ok), 11:03 , 14-Июн-19, (14) +1
Кстати, тут стало интересно а кто-то реально ждёт почту от торчков , Michael Shigorin (ok), 20:54 , 14-Июн-19, (68) –1

Просто обновил exim до последней версии и всё нубасы использующие древний софт , BlackRot (?), 10:59 , 14-Июн-19, (13) +2 //

Кто такие нубасы Знаю Папуасы есть из Гвинеи, а нубасы - хмм, из Нубии , EuPhobos (ok), 11:04 , 14-Июн-19, (15) +2 //

Noob это один юнит, а noobs если не смотреть на перевод гугл переводчика это б, BlackRot (?), 11:12 , 14-Июн-19, (17) +1 //

Нубз и noobass не одно и тоже , Аноним (52), 16:53 , 14-Июн-19, (52) +1

не не, всё верно , BlackRot (?), 16:28 , 15-Июн-19, (90)

Вот это ты отсталый, словно вчера в интернет зашел , Аноним (-), 11:41 , 14-Июн-19, (26)

о дырке с этом обновлении вам сообщат на следующей неделе когда намайнят бу, ыы (?), 11:11 , 14-Июн-19, (16) //

до того времени выйдет новая версия, а потом сообщат об уязвимости в предыдущей , BlackRot (?), 11:14 , 14-Июн-19, (18) //

да кому ваша лада нужна , jbl (?), 11:49 , 14-Июн-19, (28) –1

она не моя, но нужна и оооочень многим Умойтесь и прозрейте, вы не один на свет, BlackRot (?), 16:29 , 15-Июн-19, (91)

Древний exim не подвержен, а вот новый как оказалось наоборот , Аноним (10), 11:15 , 14-Июн-19, (19) +2 //

Эта уязвимость затрагивает версии от 4 87 до 4 91каким пользуетесь вы , BlackRot (?), 11:16 , 14-Июн-19, (20) //

4 80 и 4 84, Аноним (10), 12:04 , 14-Июн-19, (32)

У меня 4 82 и я не страдаю , KonstantinB (ok), 20:31 , 14-Июн-19, (63) //

хорошо будет если ваше время не придёт , BlackRot (?), 16:31 , 15-Июн-19, (92) //

у меня suid бит снят, так что максимум под Debian-exim что-нибудь запустят, не т, KonstantinB (ok), 22:13 , 16-Июн-19, (98)

Пронесёт Скоро уже и Debian 10 зарелизится, а я всё жду CentOS 8, мне нравится , BlackRot (?), 23:28 , 16-Июн-19, (99)

Просто проверил все ли обновилось, так как Бубунта-Сервер секьюрные апдейты нака, vantoo (ok), 01:47 , 15-Июн-19, (81) –1

Вот надо же А судя по сообщениям на форумах, заявкам на госзакупках и прочим ис, Аноним (21), 11:23 , 14-Июн-19, (21) –2 //

Не 20 , но 5 точно есть https www w3schools com browsers browsers_os asp, Аноним (-), 11:40 , 14-Июн-19, (25) +2 //

Так 20 это ж летом, Аноним (44), 14:25 , 14-Июн-19, (44) +1 //

Думаешь, на зимних каникулах меньше , forum reader (?), 15:17 , 14-Июн-19, (46)

так и есть Самая популярная модель в России среди автомобилей это Lada Granta а , ыы (?), 11:45 , 14-Июн-19, (27) //

О-оо, ща нам расскажут сказку про популярность ексчанжей с шарепойнтами, как о, Michael Shigorin (ok), 20:57 , 14-Июн-19, (69)

1 Вражеская пропаганда Микрософт Все врут Даже твои собственные суждения -, Andrey Mitrofanov_N0 (??), 11:53 , 14-Июн-19, (29) //

А, да Они ещё _не_тормозят_ и не перестают принимать Почты при 3000 артефакта, Andrey Mitrofanov_N0 (??), 11:55 , 14-Июн-19, (30) +2

MX на жирном корпоративном exchange обычно какой-нить ironport или другая железк, лютый жабист__ (?), 21:08 , 14-Июн-19, (70)

Если я правильно понял - на OBSD эта фича работать не будет, если Securelevel в, сосед (?), 12:54 , 14-Июн-19, (34) –1 //

Зачем ты на обсд exim используешь , Васян (?), 13:41 , 14-Июн-19, (40) +2 //

Чтобы довести до слёз тех, кто не любит BSD, очевидно же , YetAnotherOnanym (ok), 14:23 , 14-Июн-19, (43) +3 //

Так исторически сложилось у нас, да и Exim удобен для работы , умеет больше чем , сосед (?), 15:27 , 14-Июн-19, (47) +1

Думаю, Васян всё же подразумевал не их, а opensmtpd , Вован (??), 12:07 , 15-Июн-19, (85) +1

Эти люди не слышали про опцию smtp_banner, Аноним (39), 13:40 , 14-Июн-19, (39)
Хацкеры теперь лояльные стали не воруют ничего просто немножко майнят крипту, kiwinix (?), 16:28 , 14-Июн-19, (49) +2 //

Хм, что это за чудесный край где электричество и аренда помещения бесплатны как, Аноним84701 (ok), 17:01 , 14-Июн-19, (53) +1 //

От майнинга ущерба гораздо меньше, чем от шифровальщиков и прочей другой malware, anonymous (??), 20:46 , 14-Июн-19, (65) +3 //

На одной машине, конкретной корпоративной сети или в целом Для офиса хостера об, Аноним84701 (ok), 14:27 , 15-Июн-19, (86) +1

Как думаете, среди жертв шифровальщика есть те, что не предпочел бы подцепить вм, анонимус (??), 20:11 , 24-Июн-19, (107)

Никак не думаю, потому что тут трясти W смотреть статистику нужно Мнение личное , Аноним84701 (ok), 21:19 , 24-Июн-19, (108)

Ничего личного Просто бизнес , Аноним (-), 19:40 , 14-Июн-19, (60) +1

Так я не понял, этот вредоносный скрипт, кроме того, что другие майнеры удаляет,, Аноним (80), 01:21 , 15-Июн-19, (80) +1
Если бы Ubuntu Server секьюрные апдейты не накатывал автоматически, все было бы , vantoo (ok), 01:49 , 15-Июн-19, (82)
Правильное действие - обновиться, пусть даже и вручную , но в качестве костыля , Tifereth (?), 11:58 , 15-Июн-19, (84) //

На ангельском языке есть подобная статья , vantoo (ok), 16:26 , 15-Июн-19, (89) //

Гугл-транслейт нормально переводит Смешной костыль - , KonstantinB (ok), 21:03 , 15-Июн-19, (96) //

это хороший, правильный костыль - нехрен вообще куда-то отправлять почту с под, пох. (?), 14:03 , 18-Июн-19, (104)

Postfix 3 4 5, Ilya Indigo (ok), 16:21 , 18-Июн-19, (105) –1
Ребят, видать я попал на эту хрень, около месяца переполнялась папка exim4Я поис, Adelante (??), 14:24 , 21-Июн-19, (106)

Сообщения [Сортировка по времени | RSS]

8. "Массовая атака на уязвимые почтовые серверы на основе Exim" –4 +/–

Сообщение от Аноним (8), 14-Июн-19, 10:29

Повторю вопрос оратора из предыдущей новости "Разве exim работает от рута?"

Ответить | Правка | Наверх | Cообщить модератору

11. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от бублички (?), 14-Июн-19, 10:51

ну а майнить обязательно от лица root?

Ответить | Правка | Наверх | Cообщить модератору

12. "Массовая атака на уязвимые почтовые серверы на основе Exim" +2 +/–

Сообщение от Аноним (12), 14-Июн-19, 10:56

The Exim binary is normally setuid to root, which means that it gains root privilege (runs as root) when it starts execution. In some special cases (for example, when the daemon is not in use and there are no local deliveries), it may be possible to run Exim setuid to some user other than root. This is discussed in the next section. However, in most installations, root privilege is required for two things:
To set up a socket connected to the standard SMTP port (25) when initialising the listening daemon. If Exim is run from inetd, this privileged action is not required.
To be able to change uid and gid in order to read users’ .forward files and perform local deliveries as the receiving user or as specified in the configuration.

https://www.exim.org/exim-html-current/doc/html/spec_html/ch...

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

75. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от Аноним (1), 14-Июн-19, 22:11

Ты хочешь сказать, после открытия порта он не сбрасывает привилегии?

Ответить | Правка | Наверх | Cообщить модератору

88. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от Аноним (87), 15-Июн-19, 15:46

Зависит от конфигурации.

Ответить | Правка | Наверх | Cообщить модератору

41. "Массовая атака на уязвимые почтовые серверы на основе Exim" –1 +/–

Сообщение от Нанобот (ok), 14-Июн-19, 13:53

в 16й бубунте от Debian-exim, в 6м дебиане - от какого-то безымянного пользователя с uid=101 (по крайней мере у меня такое). больше мне посмотреть негде...
подозреваю, что exim от рута никто не видел, но все боятся
P.S. если кто-то хочет/может проверить у себя, вот команда: ps -C exim4 -o user

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

57. "Массовая атака на уязвимые почтовые серверы на основе Exim" +3 +/–

Сообщение от анонимус (??), 14-Июн-19, 17:34

На бинарь exim обычно ставится SUID-бит. Т. е. он запускается под пользователем root, а потом делает setuid и сбрасывает привилегии. НО! в определенных случаях, типа локальной доставки, или на этапе роутинга, когда нужно прочитать какие-то файлы (.forward например) в хомяке юзера, exim сам себя ре-exec-ает и опять становится рутом.

Ответить | Правка | Наверх | Cообщить модератору

62. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от KonstantinB (ok), 14-Июн-19, 20:30

Не, для локальной доставки сразу же делается setuid/setgid на нужного хомяка.
А вот queue_runner и system_filter работают по дефолту от рута, да.
Если local delivery не нужна и отключена, можно смело снимать suid bit.

Ответить | Правка | Наверх | Cообщить модератору

71. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от анонимус (??), 14-Июн-19, 21:37

Угу, и есть еще глобальная опция deliver_drop_privilege, которая запрещает получать рутовые привилегии.

Ответить | Правка | Наверх | Cообщить модератору

94. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от KonstantinB (ok), 15-Июн-19, 17:05

Да, это тоже. Есть хорошая страничка в мануале https://www.exim.org/exim-html-current/doc/html/spec_html/ch...
Но suid я все равно предпочитаю снимать от греха подальше. :-)

Ответить | Правка | Наверх | Cообщить модератору

100. "Массовая атака на уязвимые почтовые серверы на основе Exim" +1 +/–

Сообщение от Нанобот (ok), 18-Июн-19, 08:58

>exim сам себя ре-exec-ает и опять становится рутом
хитёр, хитёр

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

51. "Массовая атака на уязвимые почтовые серверы на основе Exim" +/–

Сообщение от KonstantinB (ok), 14-Июн-19, 16:43

Как настроишь, так и работает. Дефолты в разных дистрибутивах разные.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

8. "Массовая атака на уязвимые почтовые серверы на основе Exim"	–4 +/–
Сообщение от Аноним (8), 14-Июн-19, 10:29
Повторю вопрос оратора из предыдущей новости "Разве exim работает от рута?"
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от бублички (?), 14-Июн-19, 10:51
	ну а майнить обязательно от лица root?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+2 +/–
	Сообщение от Аноним (12), 14-Июн-19, 10:56
	The Exim binary is normally setuid to root, which means that it gains root privilege (runs as root) when it starts execution. In some special cases (for example, when the daemon is not in use and there are no local deliveries), it may be possible to run Exim setuid to some user other than root. This is discussed in the next section. However, in most installations, root privilege is required for two things: To set up a socket connected to the standard SMTP port (25) when initialising the listening daemon. If Exim is run from inetd, this privileged action is not required. To be able to change uid and gid in order to read users’ .forward files and perform local deliveries as the receiving user or as specified in the configuration. https://www.exim.org/exim-html-current/doc/html/spec_html/ch...
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	75. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от Аноним (1), 14-Июн-19, 22:11
	Ты хочешь сказать, после открытия порта он не сбрасывает привилегии?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от Аноним (87), 15-Июн-19, 15:46
	Зависит от конфигурации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Массовая атака на уязвимые почтовые серверы на основе Exim"	–1 +/–
	Сообщение от Нанобот (ok), 14-Июн-19, 13:53
	в 16й бубунте от Debian-exim, в 6м дебиане - от какого-то безымянного пользователя с uid=101 (по крайней мере у меня такое). больше мне посмотреть негде... подозреваю, что exim от рута никто не видел, но все боятся P.S. если кто-то хочет/может проверить у себя, вот команда: ps -C exim4 -o user
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	57. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+3 +/–
	Сообщение от анонимус (??), 14-Июн-19, 17:34
	На бинарь exim обычно ставится SUID-бит. Т. е. он запускается под пользователем root, а потом делает setuid и сбрасывает привилегии. НО! в определенных случаях, типа локальной доставки, или на этапе роутинга, когда нужно прочитать какие-то файлы (.forward например) в хомяке юзера, exim сам себя ре-exec-ает и опять становится рутом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от KonstantinB (ok), 14-Июн-19, 20:30
	Не, для локальной доставки сразу же делается setuid/setgid на нужного хомяка. А вот queue_runner и system_filter работают по дефолту от рута, да. Если local delivery не нужна и отключена, можно смело снимать suid bit.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от анонимус (??), 14-Июн-19, 21:37
	Угу, и есть еще глобальная опция deliver_drop_privilege, которая запрещает получать рутовые привилегии.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от KonstantinB (ok), 15-Июн-19, 17:05
	Да, это тоже. Есть хорошая страничка в мануале https://www.exim.org/exim-html-current/doc/html/spec_html/ch... Но suid я все равно предпочитаю снимать от греха подальше. :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+1 +/–
	Сообщение от Нанобот (ok), 18-Июн-19, 08:58
	>exim сам себя ре-exec-ает и опять становится рутом хитёр, хитёр
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору


	51. "Массовая атака на уязвимые почтовые серверы на основе Exim"	+/–
	Сообщение от KonstantinB (ok), 14-Июн-19, 16:43
	Как настроишь, так и работает. Дефолты в разных дистрибутивах разные.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору