本文最后更新于 2023年05月26日
目录
Emby服务器无法启动-安全公告2023-05-25
适用性
本文适用于您出现以下一种或多种症状的情况:
- 自2023-05-25以来,您的Emby服务器已自行关闭和/或不再启动
- 您在Emby服务器日志中遇到以下消息:我们在您的系统上检测到一个恶意插件,该插件可能是在您不知情的情况下安装的。有关如何继续的更多信息,请参阅https://emby.media/support/articles/advisory-23-05.html。为了您的安全,作为预防措施,我们关闭了您的Emby服务器。注意:我们从未直接访问过您的服务器。我们使用了我们的标准更新机制
- On Windows installs, you encounter an error entry in the Windows event log,
Source=".NET Runtime", EventId=1025with the same text as above in the event details
背景
从2023年5月中旬开始,一名黑客设法渗透了Emby服务器的私人用户托管实例,这些实例可以通过公共互联网访问,并且管理用户帐户的配置不安全。结合最近在测试版通道中修复的“代理头漏洞”,这允许攻击者获得此类系统的管理访问权限。最终,这允许攻击者安装自己的自定义插件,该插件在Emby Server的运行过程中建立了一个后门。
在仔细分析和评估可能的缓解策略后,Emby团队能够向Emby Server实例推送更新,该更新能够检测相关插件并防止其加载。由于这种情况的严重性和性质,并非常谨慎,我们正在阻止受影响的服务器在检测后再次启动。由于给定的情况需要管理员的直接行动和评估,我们确定关闭服务器并阻止进一步启动是最合适的操作,因为它会禁用插件,可能会防止情况变得更糟,同时将管理员的注意力引向主题。
对插件的分析显示,它正在将私人Emby Server登录凭据,包括每次成功登录的密码转发到黑客控制的外部服务器。
要采取的行动
- 删除插件.dll文件,该文件作为
helper.dll和EmbyHelper.dll- 主要位置是Emby服务器数据文件夹下的
plugins文件夹 - 还要查看
cache和data子文件夹
- 主要位置是Emby服务器数据文件夹下的
- 在您的服务器机器等/主机文件中添加一个条目:emmm.spxaebjhxtmddsri.xyz 127.0.0.1这是恶意软件正在通信的控制服务器的主机名
查看您的服务器机器:
- 可疑用户帐户
- 未知过程
- 未知的网络连接和开放端口
- SSH配置
- 防火墙规则
- 更改所有密码
启动Emby服务器
在(也只有在)您完成上述操作之后:
- 禁用外部网络访问
- 转到Emby服务器数据文件夹下的以下文件夹:
programdata/plugins/configurations- 找到名为
ReadyState.xml的文件并删除它。 - 找到名为“EmbyScripterX.xml”的文件并删除它(如果存在)
- 找到名为
- 启动Emby服务器
- 为您的所有Emby Server用户分配新密码
- 不允许在没有密码的情况下本地登录
- 确保没有用户拥有空密码
- 重新启用公共网络访问
- 考虑更改IP地址、端口或DNS名称(适用时)
安装Emby Server 4.7.12安全更新
- 注意此更新,并在可用时立即安装
博主留:
关于网络安全方面,强烈建议不要开放非必要端口,现代软件越来越复杂,各种漏洞层出不穷,本次EMBY曝出的漏洞十分严重,请尽快删除恶意软件,并更新至EMBY最新版,同时禁用EMBY公网端口。
原创声明
本文由 NG6 于2023年05月26日发表在 sleele的博客
如未特殊声明,本站所有文章均为原创;你可以在保留作者及原文地址的情况下转载
转载请注明:Emby 安全公告2023-05-25,服务器无法启动,漏洞遭恶意使用 | sleele的博客
本文由 NG6 于2023年05月26日发表在 sleele的博客
如未特殊声明,本站所有文章均为原创;你可以在保留作者及原文地址的情况下转载
转载请注明:Emby 安全公告2023-05-25,服务器无法启动,漏洞遭恶意使用 | sleele的博客
暴露在公网还真是危险,没想到 emby 都会被人盯上