Firefox 開源分支 Pale Moon 披露它的存檔服務(wù)器 archive.palemoon.org 遭到入侵,而入侵時間很有可能發(fā)生在兩年前,入侵者運行腳本感染了所有存檔的 Pale Moon 可執(zhí)行文件。根據(jù)文件修改的時間戳,感染發(fā)生在 2017 年 12 月 27 日下午 3 點半,入侵細節(jié)已經(jīng)難以判斷,原因是服務(wù)器在今年 5 月發(fā)生過一次數(shù)據(jù)損壞故障,導(dǎo)致系統(tǒng)日志丟失。受影響的存檔是 Pale Moon 27.6.2 以及之前的版本,如果用戶從未在存檔服務(wù)器下載文件,那么應(yīng)該沒有感染惡意程序,如果下載并執(zhí)行了修改版的文件,那么最好使用殺毒軟件進行一次全盤掃描。

部分內(nèi)容如下:

存檔服務(wù)器上存在數(shù)據(jù)泄露,企圖通過使用木馬/病毒刪除程序感染服務(wù)器上的所有存檔可執(zhí)行文件來破壞我們的項目。發(fā)布此驗尸報告是為了向我們的社區(qū)提供完整的透明度,告知發(fā)生的事情,哪些文件受到影響,您可以采取哪些措施來驗證您的下載以及將采取哪些措施來預(yù)防將來會有這樣的違規(guī)行為。

發(fā)生了什么?

惡意一方獲得了訪問我們從Frantech/BuyVM租用的基于Windows的存檔服務(wù)器(archive.palemoon.org)的權(quán)限,并運行了一個腳本來選擇性地感染存儲在其上的所有存檔的Pale Moon .exe文件(安裝程序和便攜式自解壓存檔),帶有Win32/ClipBanker.DY(ESET標識)的變體。運行這些受感染的可執(zhí)行文件將丟棄您的系統(tǒng)上的木馬/后門,這可能會進一步危及它。

在2019-07-09報告給我的那一刻,我關(guān)閉了對存檔服務(wù)器的訪問,以防止任何潛在的受感染二進制文件的進一步傳播并開始調(diào)查。

這是什么時候發(fā)生的?

根據(jù)受感染文件的日期/時間戳,這發(fā)生在2017年12月27日15:30左右。這些日期/時間戳可能是偽造的。

更新:在得到用戶的更多反饋之后,這個漏洞似乎已經(jīng)發(fā)生得更近了(這是有道理的,考慮到這將在很長一段時間內(nèi)被忽視會非常奇怪......)?，F(xiàn)在估計是在2019年4月到6月之間。

這怎么發(fā)生的?

我們的數(shù)據(jù)是有限的,因為在2019-05-26之后的后續(xù)事件(可能是同一方或其他具有類似訪問權(quán)限的事件)中,存檔服務(wù)器完全無法操作,導(dǎo)致廣泛的數(shù)據(jù)損壞并且無法從中啟動或檢索數(shù)據(jù)。不幸的是,這也意味著當時丟失了提供違規(guī)細節(jié)的系統(tǒng)日志。

在變得不可操作之后,我在另一個O.S上再次設(shè)置了存檔服務(wù)器。 (從Windows遷移到CentOS,并且因此改變了從FTP到HTTP的訪問權(quán)限,考慮到Linux FTP無法以相同的方式輕松設(shè)置,并且此服務(wù)器純粹是用戶的便利服務(wù))。

通過修改的時間戳判斷,文件被快速連續(xù)感染,文件大小增加了大約3 MB的惡意負載。它們在系統(tǒng)上被本地感染,很可能是腳本執(zhí)行直接文件操作。受感染的文件未在受感染狀態(tài)下遠程上傳。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/