PaleMoon存档服务器被入侵和感染木马

声明：该文章由作者（kstest）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

Firefox 开源分支 Pale Moon 披露它的存档服务器 archive.palemoon.org 遭到入侵,而入侵时间很有可能发生在两年前,入侵者运行脚本感染了所有存档的 Pale Moon 可执行文件。根据文件修改的时间戳,感染发生在 2017 年 12 月 27 日下午 3 点半,入侵细节已经难以判断,原因是服务器在今年 5 月发生过一次数据损坏故障,导致系统日志丢失。受影响的存档是 Pale Moon 27.6.2 以及之前的版本,如果用户从未在存档服务器下载文件,那么应该没有感染恶意程序,如果下载并执行了修改版的文件,那么最好使用杀毒软件进行一次全盘扫描。

部分内容如下:

存档服务器上存在数据泄露,企图通过使用木马/病毒删除程序感染服务器上的所有存档可执行文件来破坏我们的项目。发布此验尸报告是为了向我们的社区提供完整的透明度,告知发生的事情,哪些文件受到影响,您可以采取哪些措施来验证您的下载以及将采取哪些措施来预防将来会有这样的违规行为。

发生了什么?

恶意一方获得了访问我们从Frantech/BuyVM租用的基于Windows的存档服务器(archive.palemoon.org)的权限,并运行了一个脚本来选择性地感染存储在其上的所有存档的Pale Moon .exe文件(安装程序和便携式自解压存档),带有Win32/ClipBanker.DY(ESET标识)的变体。运行这些受感染的可执行文件将丢弃您的系统上的木马/后门,这可能会进一步危及它。

在2019-07-09报告给我的那一刻,我关闭了对存档服务器的访问,以防止任何潜在的受感染二进制文件的进一步传播并开始调查。

这是什么时候发生的?

根据受感染文件的日期/时间戳,这发生在2017年12月27日15:30左右。这些日期/时间戳可能是伪造的。

更新:在得到用户的更多反馈之后,这个漏洞似乎已经发生得更近了(这是有道理的,考虑到这将在很长一段时间内被忽视会非常奇怪......)。现在估计是在2019年4月到6月之间。

这怎么发生的?

我们的数据是有限的,因为在2019-05-26之后的后续事件(可能是同一方或其他具有类似访问权限的事件)中,存档服务器完全无法操作,导致广泛的数据损坏并且无法从中启动或检索数据。不幸的是,这也意味着当时丢失了提供违规细节的系统日志。

在变得不可操作之后,我在另一个O.S上再次设置了存档服务器。 (从Windows迁移到CentOS,并且因此改变了从FTP到HTTP的访问权限,考虑到Linux FTP无法以相同的方式轻松设置,并且此服务器纯粹是用户的便利服务)。

通过修改的时间戳判断,文件被快速连续感染,文件大小增加了大约3 MB的恶意负载。它们在系统上被本地感染,很可能是脚本执行直接文件操作。受感染的文件未在受感染状态下远程上传。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/