知名媒體服務(wù)器提供商 Emby 發(fā)布緊急安全更新 4.7.12 版修復(fù)已經(jīng)被黑客利用的安全漏洞，同時 Emby 警告自托管用戶檢查安全情況，因為從 5 月中旬開始一名黑客設(shè)法滲透了用戶自己搭建的 Emby Server，最終可以達到建立后門的目的。

事件背景：

從 2023 年 5 月中旬開始，一名黑客滲透了 Emby Server 的私人用戶托管實例 (自托管實例 / 自建服務(wù)器)，這些實例可以通過公網(wǎng)訪問，并且管理員用戶賬戶的配置不安全。

結(jié)合最近 beta 通道中修復(fù)的代理標(biāo)頭漏洞，這使得攻擊者能夠獲得對此類系統(tǒng)的管理訪問權(quán)限，最終讓攻擊者可以安裝自定義插件 (惡意插件)，從而在 Emby Server 中建立后門。

在進行仔細分析和評估后，Emby 團隊能夠向 Emby Server 推送更新，該更新可以檢測異常插件并將其封禁。鑒于以上情況的嚴(yán)重性和性質(zhì)，同時基于安全考慮，Emby 更新將會在檢測到異常后將自動關(guān)閉服務(wù)器。

強行關(guān)閉服務(wù)器目前似乎是最佳做法，因為在禁用異常插件后還可能有其他情況發(fā)生，而關(guān)閉服務(wù)器可以讓管理員意識到此次安全問題并著手進行處理。

對惡意插件的分析表明，黑客會竊取 Emby Server 的登錄憑據(jù)，每次成功登錄后賬號密碼都會發(fā)送到黑客的服務(wù)器。

以下是總結(jié)：

自 2023 年 5 月 25 日起 Emby Server 自建服務(wù)器將自動關(guān)閉

自 2023 年 5 月 25 日起 Emby Server 自建服務(wù)器將無法啟動

用戶要采取的行動：

1. 刪除插件 dll 文件，名為 help.dll 和 EmbyHelper.dll，位于 Emby Server 的 plugins 文件夾中

2. 還需要檢查 cache 和 data 子文件夾中是否存在類似名稱的 dll

3. 檢查服務(wù)器 /etc/hosts 文件，該文件中會出現(xiàn) emmm.spxaebjhxtmddsri.xyz 127.0.0.1，這是黑客的通信域名，刪除該條目

4. 檢查其他異常：檢查是否有可以賬戶、未知進程、未知網(wǎng)絡(luò)連接和被開放的端口、SSH 配置、防火墻規(guī)則

5. 立即修改所有賬戶密碼

必須在完成以上步驟后，并執(zhí)行以下操作：(再啟動服務(wù)器前操作)

1. 禁用外部網(wǎng)絡(luò)連接，也就是禁止公網(wǎng)訪問

2. 轉(zhuǎn)到 Emby Server 數(shù)據(jù)文件夾的此位置：programdata/plugins/configurations 刪除 ReadyState.xml 和 EmbyScripterX.xml (如果沒有就忽略)

3. 完成上述步驟后啟動 Emby Server，并為所有用戶生成新密碼、設(shè)置不允許沒有密碼的本地登錄、確保所有賬戶均需要密碼登錄而不是空密碼

4. 重新啟動公網(wǎng)連接 (如需要)，考慮更換 IP 地址 (國內(nèi)用戶重啟光貓)、端口或 DNS 服務(wù)器

最后：

立即檢查更新并安裝 Emby Server 4.7.12 版。

官方公告：https://emby.media/support/articles/advisory-23-05.html#emby-server-4712-security-update