今天知名媒體服務(wù)器提供商 Emby 發(fā)布緊急安全更新 4.7.12 版修復(fù)已經(jīng)被黑客利用的發(fā)布服務(wù)安全漏洞，同時(shí) Emby 警告自托管用戶檢查安全情況，緊急因?yàn)閺?5 月中旬開(kāi)始一名黑客設(shè)法滲透了用戶自己搭建的安全廣州包夜學(xué)生妹（微信181-8279-1445）一二線城市外圍模特伴游預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源 Emby Server，最終可以達(dá)到建立后門的更新關(guān)閉目的。

事件背景：

從 2023 年 5 月中旬開(kāi)始，修復(fù)一名黑客滲透了 Emby Server 的漏洞私人用戶托管實(shí)例 (自托管實(shí)例 / 自建服務(wù)器)，這些實(shí)例可以通過(guò)公網(wǎng)訪問(wèn)，遠(yuǎn)程用戶并且管理員用戶賬戶的自建配置不安全。

結(jié)合最近 beta 通道中修復(fù)的器藍(lán)代理標(biāo)頭漏洞，這使得攻擊者能夠獲得對(duì)此類系統(tǒng)的點(diǎn)網(wǎng)管理訪問(wèn)權(quán)限，最終讓攻擊者可以安裝自定義插件 (惡意插件)，發(fā)布服務(wù)廣州包夜學(xué)生妹（微信181-8279-1445）一二線城市外圍模特伴游預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源從而在 Emby Server 中建立后門。緊急

在進(jìn)行仔細(xì)分析和評(píng)估后，安全Emby 團(tuán)隊(duì)能夠向 Emby Server 推送更新，更新關(guān)閉該更新可以檢測(cè)異常插件并將其封禁。修復(fù)鑒于以上情況的嚴(yán)重性和性質(zhì)，同時(shí)基于安全考慮，Emby 更新將會(huì)在檢測(cè)到異常后將自動(dòng)關(guān)閉服務(wù)器。

強(qiáng)行關(guān)閉服務(wù)器目前似乎是最佳做法，因?yàn)樵诮卯惓２寮筮€可能有其他情況發(fā)生，而關(guān)閉服務(wù)器可以讓管理員意識(shí)到此次安全問(wèn)題并著手進(jìn)行處理。

對(duì)惡意插件的分析表明，黑客會(huì)竊取 Emby Server 的登錄憑據(jù)，每次成功登錄后賬號(hào)密碼都會(huì)發(fā)送到黑客的服務(wù)器。

以下是總結(jié)：

自 2023 年 5 月 25 日起 Emby Server 自建服務(wù)器將自動(dòng)關(guān)閉

自 2023 年 5 月 25 日起 Emby Server 自建服務(wù)器將無(wú)法啟動(dòng)

用戶要采取的行動(dòng)：

1. 刪除插件 dll 文件，名為 help.dll 和 EmbyHelper.dll，位于 Emby Server 的 plugins 文件夾中

2. 還需要檢查 cache 和 data 子文件夾中是否存在類似名稱的 dll

3. 檢查服務(wù)器 /etc/hosts 文件，該文件中會(huì)出現(xiàn) emmm.spxaebjhxtmddsri.xyz 127.0.0.1，這是黑客的通信域名，刪除該條目

4. 檢查其他異常：檢查是否有可以賬戶、未知進(jìn)程、未知網(wǎng)絡(luò)連接和被開(kāi)放的端口、SSH 配置、防火墻規(guī)則

5. 立即修改所有賬戶密碼

必須在完成以上步驟后，并執(zhí)行以下操作：(再啟動(dòng)服務(wù)器前操作)

1. 禁用外部網(wǎng)絡(luò)連接，也就是禁止公網(wǎng)訪問(wèn)

2. 轉(zhuǎn)到 Emby Server 數(shù)據(jù)文件夾的此位置：programdata/plugins/configurations 刪除 ReadyState.xml 和 EmbyScripterX.xml (如果沒(méi)有就忽略)

3. 完成上述步驟后啟動(dòng) Emby Server，并為所有用戶生成新密碼、設(shè)置不允許沒(méi)有密碼的本地登錄、確保所有賬戶均需要密碼登錄而不是空密碼

4. 重新啟動(dòng)公網(wǎng)連接 (如需要)，考慮更換 IP 地址 (國(guó)內(nèi)用戶重啟光貓)、端口或 DNS 服務(wù)器

最后：

立即檢查更新并安裝 Emby Server 4.7.12 版。

官方公告：https://emby.media/support/articles/advisory-23-05.html#emby-server-4712-security-update