今天知名媒體服務器提供商 Emby 發布緊急安全更新 4.7.12 版修復已經被黑客利用的發布服務安全漏洞，同時 Emby 警告自托管用戶檢查安全情況，緊急因為從 5 月中旬開始一名黑客設法滲透了用戶自己搭建的安全北京東城區美女約炮崴信159-8298-6630提供外圍女小姐上門服務快速安排面到付款 Emby Server，最終可以達到建立后門的更新關閉目的。

事件背景：

從 2023 年 5 月中旬開始，修復一名黑客滲透了 Emby Server 的漏洞私人用戶托管實例 (自托管實例 / 自建服務器)，這些實例可以通過公網訪問，遠程用戶并且管理員用戶賬戶的自建配置不安全。

結合最近 beta 通道中修復的器藍代理標頭漏洞，這使得攻擊者能夠獲得對此類系統的點網管理訪問權限，最終讓攻擊者可以安裝自定義插件 (惡意插件)，發布服務北京東城區美女約炮崴信159-8298-6630提供外圍女小姐上門服務快速安排面到付款從而在 Emby Server 中建立后門。緊急

在進行仔細分析和評估后，安全Emby 團隊能夠向 Emby Server 推送更新，更新關閉該更新可以檢測異常插件并將其封禁。修復鑒于以上情況的嚴重性和性質，同時基于安全考慮，Emby 更新將會在檢測到異常后將自動關閉服務器。

強行關閉服務器目前似乎是最佳做法，因為在禁用異常插件后還可能有其他情況發生，而關閉服務器可以讓管理員意識到此次安全問題并著手進行處理。

對惡意插件的分析表明，黑客會竊取 Emby Server 的登錄憑據，每次成功登錄后賬號密碼都會發送到黑客的服務器。

以下是總結：

自 2023 年 5 月 25 日起 Emby Server 自建服務器將自動關閉

自 2023 年 5 月 25 日起 Emby Server 自建服務器將無法啟動

用戶要采取的行動：

1. 刪除插件 dll 文件，名為 help.dll 和 EmbyHelper.dll，位于 Emby Server 的 plugins 文件夾中

2. 還需要檢查 cache 和 data 子文件夾中是否存在類似名稱的 dll

3. 檢查服務器 /etc/hosts 文件，該文件中會出現 emmm.spxaebjhxtmddsri.xyz 127.0.0.1，這是黑客的通信域名，刪除該條目

4. 檢查其他異常：檢查是否有可以賬戶、未知進程、未知網絡連接和被開放的端口、SSH 配置、防火墻規則

5. 立即修改所有賬戶密碼

必須在完成以上步驟后，并執行以下操作：(再啟動服務器前操作)

1. 禁用外部網絡連接，也就是禁止公網訪問

2. 轉到 Emby Server 數據文件夾的此位置：programdata/plugins/configurations 刪除 ReadyState.xml 和 EmbyScripterX.xml (如果沒有就忽略)

3. 完成上述步驟后啟動 Emby Server，并為所有用戶生成新密碼、設置不允許沒有密碼的本地登錄、確保所有賬戶均需要密碼登錄而不是空密碼

4. 重新啟動公網連接 (如需要)，考慮更換 IP 地址 (國內用戶重啟光貓)、端口或 DNS 服務器

最后：

立即檢查更新并安裝 Emby Server 4.7.12 版。

官方公告：https://emby.media/support/articles/advisory-23-05.html#emby-server-4712-security-update