今天知名媒體服務器提供商 Emby 發布緊急安全更新 4.7.12 版修複已經被黑客利用的安全漏洞，同時 Emby 警告自托管用戶檢查安全情況，因為從 5 月中旬開始一名黑客設法滲透了用戶自己搭建的 Emby Server，最終可以達到建立後門的目的。

事件背景：

從 2023 年 5 月中旬開始，一名黑客滲透了 Emby Server 的私人用戶托管實例 (自托管實例 / 自建服務器)，這些實例可以通過公網訪問，並且管理員用戶賬戶的配置不安全。

結合最近 beta 通道中修複的代理標頭漏洞，這使得攻擊者能夠獲得對此類係統的管理訪問權限，最終讓攻擊者可以安裝自定義插件 (惡意插件)，從而在 Emby Server 中建立後門。

在進行仔細分析和評估後，Emby 團隊能夠向 Emby Server 推送更新，該更新可以檢測異常插件並將其封禁。鑒於以上情況的嚴重性和性質，同時基於安全考慮，Emby 更新將會在檢測到異常後將自動關閉服務器。

強行關閉服務器目前似乎是最佳做法，因為在禁用異常插件後還可能有其他情況發生，而關閉服務器可以讓管理員意識到此次安全問題並著手進行處理。

對惡意插件的分析表明，黑客會竊取 Emby Server 的登錄憑據，每次成功登錄後賬號密碼都會發送到黑客的服務器。

以下是總結：

自 2023 年 5 月 25 日起 Emby Server 自建服務器將自動關閉

自 2023 年 5 月 25 日起 Emby Server 自建服務器將無法啟動

用戶要采取的行動：

1. 刪除插件 dll 文件，名為 help.dll 和 EmbyHelper.dll，位於 Emby Server 的 plugins 文件夾中

2. 還需要檢查 cache 和 data 子文件夾中是否存在類似名稱的 dll

3. 檢查服務器 /etc/hosts 文件，該文件中會出現 emmm.spxaebjhxtmddsri.xyz 127.0.0.1，這是黑客的通信域名，刪除該條目

4. 檢查其他異常：檢查是否有可以賬戶、未知進程、未知網絡連接和被開放的端口、SSH 配置、防火牆規則

5. 立即修改所有賬戶密碼

必須在完成以上步驟後，並執行以下操作：(再啟動服務器前操作)

1. 禁用外部網絡連接，也就是禁止公網訪問

2. 轉到 Emby Server 數據文件夾的此位置：programdata/plugins/configurations 刪除 ReadyState.xml 和 EmbyScripterX.xml (如果沒有就忽略)

3. 完成上述步驟後啟動 Emby Server，並為所有用戶生成新密碼、設置不允許沒有密碼的本地登錄、確保所有賬戶均需要密碼登錄而不是空密碼

4. 重新啟動公網連接 (如需要)，考慮更換 IP 地址 (國內用戶重啟光貓)、端口或 DNS 服務器

最後：

立即檢查更新並安裝 Emby Server 4.7.12 版。

官方公告：https://emby.media/support/articles/advisory-23-05.html#emby-server-4712-security-update