聲明：該文章由作者（kstest）發(fā)表，轉載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

Firefox 開源分支 Pale Moon 披露它的存檔服務器 archive.palemoon.org 遭到入侵,而入侵時間很有可能發(fā)生在兩年前,入侵者運行腳本感染了所有存檔的 Pale Moon 可執(zhí)行文件。根據(jù)文件修改的時間戳,感染發(fā)生在 2017 年 12 月 27 日下午 3 點半,入侵細節(jié)已經(jīng)難以判斷,原因是服務器在今年 5 月發(fā)生過一次數(shù)據(jù)損壞故障,導致系統(tǒng)日志丟失。受影響的存檔是 Pale Moon 27.6.2 以及之前的版本,如果用戶從未在存檔服務器下載文件,那么應該沒有感染惡意程序,如果下載并執(zhí)行了修改版的文件,那么最好使用殺毒軟件進行一次全盤掃描。

部分內(nèi)容如下:

存檔服務器上存在數(shù)據(jù)泄露,企圖通過使用木馬/病毒刪除程序感染服務器上的所有存檔可執(zhí)行文件來破壞我們的項目。發(fā)布此驗尸報告是為了向我們的社區(qū)提供完整的透明度,告知發(fā)生的事情,哪些文件受到影響,您可以采取哪些措施來驗證您的下載以及將采取哪些措施來預防將來會有這樣的違規(guī)行為。

發(fā)生了什么?

惡意一方獲得了訪問我們從Frantech/BuyVM租用的基于Windows的存檔服務器(archive.palemoon.org)的權限,并運行了一個腳本來選擇性地感染存儲在其上的所有存檔的Pale Moon .exe文件(安裝程序和便攜式自解壓存檔),帶有Win32/ClipBanker.DY(ESET標識)的變體。運行這些受感染的可執(zhí)行文件將丟棄您的系統(tǒng)上的木馬/后門,這可能會進一步危及它。

在2019-07-09報告給我的那一刻,我關閉了對存檔服務器的訪問,以防止任何潛在的受感染二進制文件的進一步傳播并開始調(diào)查。

這是什么時候發(fā)生的?

根據(jù)受感染文件的日期/時間戳,這發(fā)生在2017年12月27日15:30左右。這些日期/時間戳可能是偽造的。

更新:在得到用戶的更多反饋之后,這個漏洞似乎已經(jīng)發(fā)生得更近了(這是有道理的,考慮到這將在很長一段時間內(nèi)被忽視會非常奇怪......)?，F(xiàn)在估計是在2019年4月到6月之間。

這怎么發(fā)生的?

我們的數(shù)據(jù)是有限的,因為在2019-05-26之后的后續(xù)事件(可能是同一方或其他具有類似訪問權限的事件)中,存檔服務器完全無法操作,導致廣泛的數(shù)據(jù)損壞并且無法從中啟動或檢索數(shù)據(jù)。不幸的是,這也意味著當時丟失了提供違規(guī)細節(jié)的系統(tǒng)日志。

在變得不可操作之后,我在另一個O.S上再次設置了存檔服務器。 (從Windows遷移到CentOS,并且因此改變了從FTP到HTTP的訪問權限,考慮到Linux FTP無法以相同的方式輕松設置,并且此服務器純粹是用戶的便利服務)。

通過修改的時間戳判斷,文件被快速連續(xù)感染,文件大小增加了大約3 MB的惡意負載。它們在系統(tǒng)上被本地感染,很可能是腳本執(zhí)行直接文件操作。受感染的文件未在受感染狀態(tài)下遠程上傳。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/