The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков

11.07.2019 10:22

Автор браузера Pale Moon раскрыл сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

В настоящее время проблемный сервер отключен для проведения разбирательства. Сервер, с которого распространялись актуальные выпуски Pale Moon, не пострадал, проблема затрагивает только старые Windows-версии, установленные из архива (выпуски перемещаются в архив по мере выхода новых версий). Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.

После получения доступа атакующие выборочно инфицировали все exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обмена. Исполняемые файлы внутри архивов zip не поражены. Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256. Используемое вредоносное ПО также успешно выявляется большинством актуальных антивирусов.

26 мая 2019 года в процессе активности на сервере злоумышленников (не ясно те же это атакующие, что при первом взломе или другие), нормальная работоспособность archive.palemoon.org была нарушена - хост не смог перезагрузиться, а данные были повреждены. В том числе были потеряны системные логи, которые могли включать более детальные следы, свидетельствующие о характере атаки. В момент данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое окружение на основе CentOS и заменив загрузку через FTP на HTTP. Так как инцидент не был замечен, на новый сервер были перенесены файлы из резервной копии, которые уже были инфицированы.

Разбирая возможные причины компрометации предполагается, что атакующие получили доступ подобрав пароль к учётной записи персонала хостинга, получив прямой физический доступ к серверу, выполнив атаку на гипервизор для получения контроля за другими виртуальными машинами, взломав web-панель управления, перехватив сеанс удалённого обращения к рабочему столу (использовался протокол RDP) или эксплуатировав уязвимость в Windows Server. Вредоносные действия были произведены локально на сервере с использованием скрипта для внесения изменений в уже имеющиеся исполняемые файлы, а не путём их повторной загрузки извне.

Автор проекта уверяет, что только он имел доступ администратора в системе, доступ был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена от внешних атак. При этом для удалённого доступа использовались протоколы RDP и FTP, а также на виртуальной машине запускалось потенциально небезопасное ПО, что могло стать причиной взлома. Тем не менее, автор Pale Moon склоняется к версии, что взлом был совершён из-за недостаточной защиты инфраструктуры виртуальных машин у провайдера (например, в своё время через подбор ненадёжного пароля провайдера при помощи штатного интерфейса управления виртуализацией был взломан сайт OpenSSL).

  1. Главная ссылка к новости (https://forum.palemoon.org/vie...)
  2. OpenNews: Выпуск браузера Pale Moon 28.6
  3. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
  4. OpenNews: Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев
  5. OpenNews: Взлом дискуссионной площадки Stack Overflow (дополнено)
  6. OpenNews: Взлом репозиториев Canonical на GitHub (дополнено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: palemoon
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (111) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, iPony129412 (?), 10:43, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    > По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

    Секурность уровня пушистого проекта.

     
     
  • 2.3, Аноним (3), 10:44, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Секурность уровня кто больше заплатит того и секурность.
     
  • 2.6, пох. (?), 10:50, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    всеми забытый сервер с ненужными архивами бесполезных версий поломали, видимо, через рас...во французского араба-хостера, тоже мне, проблема.

    Никто ее нихрена не замечал, поскольку древние сборки под винду вообще никому не нужны, кроме тех, у кого они и так уже давно есть, любителей XPшечки.

    Если бы у кого-то был реально работающий эксплойт для ms rdp в 2017м году - он бы не разменивался на какую-то фигню.

    Но ты, конечно же, можешь проспонсировать автору нормальный хостинг для архивов. Бонус по сравнению с мурзилой - эти деньги потратят если не на хостинг, то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.


     
     
  • 3.11, iPony129412 (?), 11:07, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > тоже мне, проблема.

    А как же. Я вот такой ерундой не пользуюсь.
    Но вот Transmission перестал после двух случаев взлома. На macOS вообще (заменил на aria2c).

    И на Ubuntu раньше подключал PPA (https://launchpad.net/~transmissionbt/+archive/ubuntu/ppa) теперь использую чисто из стандартного проверенного репозитория. Хотя можно хи-хикать и ха-хакать, что типа и не касалось, да и какая разница, но лучше перебдеть, особенно если это нетрудно.

     
     
  • 4.23, пох. (?), 11:45, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Но вот Transmission перестал после двух случаев взлома. На macOS вообще (заменил

    а в нем были за последние десять лет хоть какие серьезные уязвимости?

    и вот зачем его вообще обновлять? Протокол не изменяется уже больше десятка лет, ничего хорошего модные улучшайки все равно там не сделали (а, ну да, ну да - теперь можно обмазаться наисвежайшим gtk!)

    я использую версию из последних не изуродованных улучшайками (то есть не требующую самой распоследней версии cmake) - что я делаю не так?

     
  • 4.114, Test123 (?), 21:12, 13/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дружищще, как качать с помощью этого aria2? Я вот скачиваю рандомный файл с rutor.is, прописываю в терминале aria2c /Users/test/Downloads/1.torrent и ничего не происходит, одни Error.
     
  • 3.17, Аноним (17), 11:34, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Чувак, остынь. Это всего лишь браузер.
    За милю чувствуется как у тебя пригорело, серьезно
     
     
  • 4.63, kekovsky (?), 13:46, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > За милю

    бггг

    https://allthatsinteresting.com/wordpress/wp-content/uploads/2017/08/john-frum

     
  • 3.37, да (?), 12:24, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Бонус по сравнению с мурзилой - эти деньги потратят если не на хостинг, то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.

    что в этом плохого? это же просто прекрасно

     
     
  • 4.91, IRASoldier_registered (ok), 18:01, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему-то я совершенно уверен, что разрабам в Мозилле хватает и на хостинг, и на крафтовое пиво, и даже на односолодовый вискарь с закусью, а пожертвователи в их фонд совершенно не против того, чтобы часть денег уходило на программы по совершенствованию социальной коммуникации ;-)

    А отдельные посконные товарищи на Опеннете в комментариях просто занимаются традиционным для небогатых стран спортом - публично выражают зависть к тому, что у кого-то таки есть деньги.

     
     
  • 5.101, пох. (?), 22:20, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    естественно - деньги-то у гугля - бесконечные нет, я совершенно не завидую бог... текст свёрнут, показать
     
  • 3.48, Аноним (48), 12:55, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.

    Ты бы для начала выяснил, кто автор сабжа. Есть мнение, что автор как раз эти самые лекции читает за деньги, в свободное от программного вандализма время.

     
     
  • 4.57, Эксперт по разработчикам браузеров (?), 13:22, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Родился в Голландии, живёт в Швеции, рисует фуррей? Да однозначно π-дор, нарик и русофоб!
     
     
  • 5.58, iPony129412 (?), 13:27, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это правильно. Лучше рисовать http://www.wolfbeast.com
     
  • 3.49, имя (?), 13:06, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > всеми забытый сервер с ненужными архивами бесполезных версий поломали

    Так вот почему никто не качает Последние ТруеЪ Версии Firefox™ с XUL: не нужны никому!

     
  • 2.32, Аноним (32), 12:16, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей
     

  • 1.2, Аноним (3), 10:43, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сами себя взломали?
     
     
  • 2.107, Аноним (107), 17:23, 12/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, просто поступила команда "Мочить!" - слишком мало телеметрии, пацаны из Хрома и Гадзиллы волнуются.
     

  • 1.4, Аноним (4), 10:46, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > полтора года оставалась незамеченной

    А вот использование системных библиотек в OpenBSD заметили достаточно оперативно.

     
     
  • 2.7, пох. (?), 10:52, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там другой пациент заметил, еще более больной чем главный шерстяной.

    Он виндой не интересуется совсем, так что тут шансов не имел.

     

  • 1.5, Аноним (5), 10:48, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сс, больно. Как бы это не подорвало всё доверие к проекту. А почему не было какой-нибудь системы контроля целостности архива, хоть тот же хэш, снимающийся автоматически? Не висело бы так долго.
     
     
  • 2.9, пох. (?), 10:56, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    и чем бы это помогло? Человек, способный поперезаражать архивы почти никому неведомого браузера - уверяю тебя, способен пересчитать и хэши, хранимые на том же самом сервере.

    специально для любителей скачать .exe бесплатнобезсмс и с того же сайта тут же скачать .md5 - секьюрить, мать его!

    Помогло бы банально подписывать установщик - но там у автора какая-то намертво застрявшая проблема, из-за которой он как бы подписан, но как бы не подписан, и все равно вылезает окошко "вы собираетесь запустить какую-то явно вредную хрень - ok, yes, continue?"
    Плюс еще и антивирусы умудряются найти там то, чего нет, поэтому и на их предупреждение всем плевать. Так что кто-то очень, очень старательно выбрал мишень.

     
     
  • 3.12, iPony129412 (?), 11:13, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Человек.. Так что кто-то очень, очень старательно выбрал мишень.

    Ахахаха. Да обычный червяк-майнер стучится во все дыры и заражает все экзешники, до которых можешь дотянутся.

     
     
  • 4.15, пох. (?), 11:32, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    обычному червяку-майнеру несколько сложно, на мой взгляд, проломить среду виртуализации, каким бы уг она не была.

    тут больше похоже на ручную работу.

     
     
  • 5.21, iPony129412 (?), 11:41, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > проломить среду виртуализации

    А этого и не надо. У виртуалки кучу сервисов наружу. А ещё если в клиенте на дрйгой машине ради уюобства сохранён пароль в открытом виде...
    Не надо выдумывать сложные варианты, когда обычно самые простые работают.

     
     
  • 6.27, пох. (?), 12:06, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    у штатно установленной винды никакой кучи сервисов наружу нет и в помине И rd... текст свёрнут, показать
     
     
  • 7.28, iPony129412 (?), 12:12, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > у штатно установленной винды никакой "кучи сервисов наружу" нет и в помине

    Ну да, конечно её голую поставили и ничего не делали 🤣

     
     
  • 8.31, пох. (?), 12:16, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    целый ftp сервер в r o mode поставили, да Что еще по твоему делают на арендован... текст свёрнут, показать
     
     
  • 9.36, iPony129412 (?), 12:21, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    эти Хоть что могут Естественно ты не замечаешь про то, что я написал про зараже... текст свёрнут, показать
     
     
  • 10.43, пох. (?), 12:35, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    клиентская машина шерстяного, внезапно, наверняка и основная для разработки гов... текст свёрнут, показать
     
  • 7.35, iPony129412 (?), 12:18, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > у меня тут, как внезапно выяснилось, ржавый-прержавый линуксроутер торчал ssh-ем в интернет - год минимум. С паролем из шести букв. Простым

    Ну значит не такой простой. Я видел случай на предприятии, когда одноплатник ARM рутом ssh выставили на белый IP без пароля («ну а кто его знает этот IP, кому мы нужны»). Урону ноль, ибо чисто на поиграться было для тестов, выгреб я от туда около 15 штук зловредов, около 3 было под арм, но кажись ничего не смогли сделать.

    Тактика же простая, просто стучишься тупо во все дыры, тебя не удалось пенетрировать, ну и ладно — побежали дальше. Всё равно всё софт долбит автоматом.

     
     
  • 8.40, пох. (?), 12:29, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да полное уг - я ж его из дома только набираю, ssh вообще не должен был слушать ... текст свёрнут, показать
     
     
  • 9.54, имя (?), 13:13, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Опыт NASA показывает, что для бекдоров хватит и ширпотребного RPi, в т ч в кач... текст свёрнут, показать
     
     
  • 10.69, пох. (?), 14:22, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    но у меня нет rpi - ведроид вот есть C permitroot, как же ж иначе Но вот даж... текст свёрнут, показать
     
  • 7.61, Аноним (-), 13:38, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >у штатно установленной винды никакой "кучи сервисов наружу" нет и в помине. И rdp появляется после того как его вручную разрешишь.

    Вотт оно чо! А я то я думаю с чего бы WannaCry разбушевался
    Хорошо что ты всё прояснил

    Я погляжу ты тут настолько эксперт по всем вопросам, что без точки тебя уже забанили

     
  • 2.10, iPony129412 (?), 11:01, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как бы это не подорвало всё доверие к проект

    Какое доверие? Люди пользуются трухлявым браузером с известными уязвимостями от Firefox.
    Некоторые залатывают спустя два месяца, с некоторыми ну и ладно...
    О чём вообще разговор? У пользователей этого браузера доверие не надорвётся - через неделю забудут всё равно.

     
     
  • 3.16, пох. (?), 11:33, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как бы это не подорвало всё доверие к проект
    > Какое доверие? Люди пользуются трухлявым браузером с известными уязвимостями от Firefox.

    покажи хоть один работающий эксплойт такой уязвимости. Работающий, разумеется, в PM.

    > Некоторые залатывают спустя два месяца, с некоторыми ну и ладно...

    в фуфлофоксе в каждом релизе стопиццот свежеисправленых уязвимостей "детали не разглашаются".
    Но ты же им пользуешься?

     
     
  • 4.20, iPony129412 (?), 11:39, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > покажи

    От этого сидение на пороховой бочке рациональнее не станет. Хотя да, шансов что бабахнет - это не такое уж большое число. Небольшое для статистики, а никогда ты сидишь на этой бочке

    > в фуфлофоксе в каждом релизе стопиццот свежеисправленых уязвимостей "детали не разглашаются".

    Но ты же им пользуешься?

    Не пользуюсь.

     
     
  • 5.29, пох. (?), 12:14, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    полагаю, их ровно ноль, пока ты лично кому-то не покажешься нужным и вот это ка... текст свёрнут, показать
     
     
  • 6.52, iPony129412 (?), 13:13, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > эксплойт для мазилы, даже если кто-то напишет, что неинтересно (4%) и геморройно (каждый день новая версия)

    Ну так уже было с PDF.js - хорошая пробивка под все платформы. Но правда паленную луну это не касалось (ибо слишком старая, там его и не было).
    Вторая штука эксплуатируемая в реальности появилась вот недавно

    https://www.opennet.ru/opennews/art.shtml?num=50913
    https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/

    Касается ли это паленную луну или нет - неизвестно. Опять же никто специально стараться не будет, пробивка просто видеть у тебя фурифоксообразное вот на тебе получай - не прошло, ну и ладно, не особо хотелось. Подействовало - отлично, ещё один отпенетрированный.

     
     
  • 7.59, пох. (?), 13:31, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так его ж оттуда и выпилили потом, правда, обратно впилили, посвежее Ну и опя... текст свёрнут, показать
     
     
  • 8.66, iPony129412 (?), 14:18, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в 28 6, как видишь, исправлено, сразу же после того как эта информация выплыла н... текст свёрнут, показать
     
     
  • 9.70, пох. (?), 14:27, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то с поправкой на существенно разный код в этом месте у шерстяного, кстати, ср... текст свёрнут, показать
     
  • 9.73, имя (?), 14:38, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так коммит на раз-два находится в mozilla-unified Другое дело, что авторы Stale... текст свёрнут, показать
     
     
  • 10.83, пох. (?), 15:29, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    они просто скопировали ровно тот комментарий, который был в апстриме как будто ... текст свёрнут, показать
     
     
  • 11.86, имя (?), 16:45, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    потеряв при этом ссылку на багзиллу Не ровно то же самое см выше Так и патч ... текст свёрнут, показать
     
     
  • 12.92, пох. (?), 18:27, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    с добрым утречком Эксплойт написан кем-то неленивым, анализировавшим такие вот ... текст свёрнут, показать
     
  • 8.67, iPony129412 (?), 14:19, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    D Как не крути всегда будет хитрый план Диагноз понятен ... текст свёрнут, показать
     
     
  • 9.72, пох. (?), 14:32, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    что тебя удивляет - что эти ребята давно уже не робингуды, и работают за бабки, ... текст свёрнут, показать
     
     
  • 10.76, iPony129412 (?), 14:55, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не удивляет Просто безалаберное отношение хозяина сервера 8212 вот и ... текст свёрнут, показать
     
     
  • 11.80, пох. (?), 15:05, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    сколько у тебя вот лично серверов Я про свои - хрен знает Причем ладно к винде... текст свёрнут, показать
     
  • 2.14, Аноним (14), 11:31, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему не было какой-нибудь системы контроля
    >целостности архива, хоть тот же хэш, снимающийся
    >автоматически? Не висело бы так долго.

    Неприятно, конечно что автор интересная личность, и пользовался виндовым сервером и таким ущербным провом, однако:
    >"Изменения в установщике могли быть выявлены пользователем
    >при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256."

    Не знаю как кто, а я всегда пользуюсь этими возможностями проверить архив, во всех адекватных проектах такие возможности есть, это же вам не deadbeef какой-нибудь!

     
  • 2.18, Аноним (48), 11:34, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Доверие к проекту, основатель которого - больной на голову, и это было заранее известно? Вы верно шутите.
     
     
  • 3.103, dimqua (ok), 22:53, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для недоверия достаточно и того, что автор - вендузятник.
     
     
  • 4.106, iPony129412 (?), 06:28, 12/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это диагноз такой?
    Ну я с лёгкостью могу назвать нескольких, до которых я бы хотел дорасти.
    А вот многие местные многие комментаторы - это что-то ниже плинтуса. И неважно какую ОС они используют (далеко ходить не надо ☝).
    Вместо логики просто мышление штамповкой фанатизма.
     
     
  • 5.109, dimqua (ok), 21:44, 12/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Фанатизм считать венду вредоносным ПО, как ниже охарактеризовали? А иначе логика есть.
     
  • 3.110, 500 миллионов (?), 01:28, 13/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, аноним, ты свою справку ещё никому тут не предъявил
     

  • 1.8, Аноним (8), 10:56, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows.

    Ну так внедрение вредоносного ПО в программу установки для ОС, которая сама по себе является вредоносным ПО. Чего такого?

     
  • 1.13, Аноним (14), 11:23, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это всё козни мозиловцев или гугля, а может они вместе сговорились ещё, чтобы подгадить браузеру, который уверенно вытесняет их поделия на рынке, бояцца сyкины дети!

    >а базовая ОС Windows была обновлена и защищена от внешних атак

    Да вы что? Никогда винду не ломали и вот опять, сервак на винде, автор форменный ССЗБ

    >восстановили работу архива, используя новое окружение
    > на основе CentOS

    О стал умнеть
    >Так как инцидент не был замечен на новый сервер
    >были перенесены файлы из резервной копии,
    >которые уже были инфицированы.

    ...но, видимо не до конца, ай какая жалость, виндовое раздолбайство всёж не удалось до конца победить, видать инертность очень сильна!

     
  • 1.19, Celcion (ok), 11:37, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.

    Судя по тому, что взлом полтора года никто не замечал, то уязвимость вполне очевидна - прослойка между клавиатурой и креслом, использовавшаяся в качестве админа данного сервера. Видимо, обновления никто не ставил и установкой антивируса тоже не заморачивался. Ясно же, что в случае чего будет виновата винда.

     
     
  • 2.24, Сигизмунд (?), 11:48, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ясно же, что в случае чего будет виновата винда

    Система не способная сама себя защищать априори виновата!

     
     
  • 3.46, Celcion (ok), 12:47, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> Ясно же, что в случае чего будет виновата винда
    > Система не способная сама себя защищать априори виновата!

    Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты. Это ж только в линуксе всё магическим образом само ставится и настраивается, не то что в этой вашей винде.

     
     
  • 4.50, пох. (?), 13:09, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты.

    со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты.

    А вот де6иллианоиды из коропке так и ставятся без включенного пакетного фильтра, ага. Ну правда, да, норовят тут же выставить тебя на бабки, скачав мильен ненужных обновлений. Правда, устанавливать их - не норовят, такая вот архиоригинальная настройка apt periodic по умолчанию.

     
     
  • 5.55, iPony129412 (?), 13:17, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты

    "петя", "хочешь плакать"... - обновления против них были выложены за 4 месяца до ба-баха эпидемии. Заражена была явно не только Windows XP SP1.

     
     
  • 6.60, пох. (?), 13:34, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты
    > "петя", "хочешь плакать"... - обновления против них были выложены за 4 месяца
    > до ба-баха эпидемии. Заражена была явно не только Windows XP SP1.

    ну так находятся, старательные. Я даже на каком-то гуанофоруме видел советы как каждому дятлу все это у себя отключить (кажется, сопровождаемые мантрой "венда за тобой следит, апдейты все с телеметрией!")
    но вряд ли тут тот случай.

     
  • 6.97, Аноним (97), 20:45, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >обновления против них были выложены за 4 месяца до ба-баха эпидемии.

    Что за эпидемия?
    >Заражена была явно не только Windows XP SP1

    Чем заражена?
    Можно подробнее-конкретнее, где про это можно почитать/посмотреть, а то нифуя не понятно, но очень интересно?!

     
     
  • 7.102, пох. (?), 22:48, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Petya_(malware)
    https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

    но для того чтобы эта хрень работала - надо чтобы кто-то очень умный выставил smb голой задницей в инет - что многим альтернативно-одаренным, как ни странно, вполне удалось, не смотря на некоторую нетривиальность сего действа - afair, нужно включить home profile на внешнем сетевом интерфейсе, domain не сильно поможет, поскольку там доступ ограничен локальной сетью, где второго такого лоха может в нужный момент и не оказаться.

    Сравните, опять же, с https://www.samba.org/samba/security/CVE-2017-7494.html - и не забудьте снова вспомнить добрым словом de6иллиан и его альтернативу от Кос...запрещенного опеннетом, у которых сосамба без файрвола ставится в одно движение мыши.

     
  • 5.74, Celcion (ok), 14:42, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты.
    > со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты.

    Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он бы пришиб эти файлы сам.
    Ну и апдейты сами ставятся только если это десткопная винда. На серваках подразумевается, что одмин таки хоть немного над настройками подумал и запланировал окна обслуживания для установки обновлений и перезагрузки.
    Да и антивирь установлен и активирован по умолчанию лишь на совсем новых виндовых серваках, но я сомневаюсь, что там был именно такой...

     
     
  • 6.78, пох. (?), 14:58, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он бы пришиб эти файлы сам.

    он вроде без пинка внутрь архивов не лазит, этим только улучшенная корп-версия занимается, а снаружи-то там все было гладко.

    > Ну и апдейты сами ставятся только если это десткопная винда.

    не, на сервере такая ж точно фигня, ровно в том же месте настраивается.
    И, помнится, уже довольно давно она стала изрядно назойлива. А вот всяких дефендеров да, даже в 2012 нет.

    но я тут полазил по сайту этих лягушкоедов -
    KVM 128MB Windows 2003 only. ~30MB RAM spare
    KVM 256MB Windows 2003 only. ~150MB RAM spare
    KVM 512MB Windows 2003, 2008, 2012. 2008 will likely be hitting the pagefile a lot
    KVM 1024MB Windows 2003, 2008, & 2012. Recommended amount for Windows 2008
    KVM 2048MB Windows 2003, 2008, & 2012
    а учитывая нехватку у шерстяных лишней монеты - угадай, что у них там стояло :-(

     
     
  • 7.84, Celcion (ok), 16:03, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > он вроде без пинка внутрь архивов не лазит, этим только улучшенная корп-версия занимается, а снаружи-то там все было гладко.

    От антивиря зависит, конечно, но вроде как файл проверяется при первом обращении к нему. Да и файловый кэш периодически чекает. После прописывания в файлы вошки - антивирь полюбому должен был возбудиться. Если он там, конечно, был и был обновлен.

    > не, на сервере такая ж точно фигня, ровно в том же месте настраивается.

    Настраивается еще со времен XP в одном месте - gpedit.msc, или через групповые политики (если комп в домене, что в данном случае вряд ли), просто на серваке оно, вроде, по дефолту не ребутит сервак само, потому что никому не нужны внезапные даунтаймы из-за того, что админ Вася забыл настроить сервисные окна...
    Хотя, ХЗ, давно туда уже не глядел, могу ошибаться.

    > а учитывая нехватку у шерстяных лишней монеты - угадай, что у них там стояло :-(

    Да это, в принципе, и так было понятно.

     
  • 6.88, Аноним84701 (ok), 17:48, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он  бы пришиб эти файлы сам.

    В новости:
    > подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года

    Идем по ссылке https://www.fortiguard.com/encyclopedia/virus/7658424
    читаем:
    > Released Mar 05, 2018

    Ну и вылезать из криокамеры хотя бы раз в 10 лет нужно:
    http://www.google.com/search?q=crypter+with+fud+guarantee&oq=&aqs=
    > Download XXX now and make files undetectable from:
    > AVG Free, ArcaVir, Avast, AntiVir (Avira), BitDefender, VirusBuster Internet Security, Clam , COMODO Internet Security,
    > Dr.Web, eTrust-Vet, F-PROT , F-Secure Internet Security, G Data, IKARUS Security, Kaspersky , McAfee, MS Security
    > Essentials, ESET NOD32, Norman, Norton , Panda Security, A-Squared, Quick Heal , Solo , Sophos, Trend Micro Internet
    > Security, VBA32 , Zoner , Ad-Aware, AhnLab V3 Internet Security BullGuard, Immunet , K7 Ultimate, NANO , Panda CommandLine, VIPRE,

    Массовые продажи "крипторов" для "илиты" (т.е. доступные для киддисов), я еще где-то в 2006 видел (как пошел интернет в массы и появилась возможность анонимной оплаты всякими PaySafe картами, так оно в общем-то и поперло).
    Если использованное поделие более-менее качественное и сильно не засвечивается, то и сигнатура в базе антивирей может очень долго не появляться.    

     
     
  • 7.95, Celcion (ok), 20:12, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала читаем это...

    > Ну и вылезать из криокамеры хотя бы раз в 10 лет нужно:

    А затем вот это...

    > Если использованное поделие более-менее качественное и сильно не засвечивается, то и сигнатура
    > в базе антивирей может очень долго не появляться.

    Эх, ирония, злая ты с@ка... Как раз для недавно покинувших криокамеру хотелось бы заметить, что антивирусы уже давно не только по сигнатурам вошек определяют.

     
     
  • 8.99, Аноним84701 (ok), 21:33, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, ага Особенно хороша эвристика в заверениях маркетологов, прям чудесна А п... текст свёрнут, показать
     
  • 4.79, Сигизмунд (?), 15:01, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > если на нее не ставить ни апдейтов, ни механизмов защиты

    Рождённый больным неизлечим! (КО)

     
     
  • 5.85, Celcion (ok), 16:05, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> если на нее не ставить ни апдейтов, ни механизмов защиты
    > Рождённый больным неизлечим! (КО)

    То есть, следуя твоей логике - систем, рожденных здоровыми, вообще не существует?
    Блин, ты бы хоть, если троллишь, делал это потоньше, а то твой троллинг аж в двери не пролазит...

     
     
  • 6.94, Сигизмунд (?), 19:29, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С каких пор озвучивание очевидного является троллингом? Да ещё и не худеньким, странно...
     

  • 1.22, Сигизмунд (?), 11:45, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > проблема затрагивает только старые Windows-версии

    Так винда сама по себе это сборник проблем, одной больше, одной меньше, разницы нет!

     
  • 1.25, Ключевский (?), 11:49, 11/07/2019 Скрыто [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.26, Аноним (26), 12:01, 11/07/2019 Скрыто
  • –2 +/
     

  • 1.34, AntonAlekseevich (ok), 12:18, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И теперь после этой новости думай, стоило ли ставить Firefox или Pale moon для Windows на работе. (Хорошо что остались на Firefox.)
     
     
  • 2.64, Сигизмунд (?), 14:02, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Хорошо что остались на Firefox

    А чем SeaMonkey не удовлетворяет?

     
     
  • 3.87, AntonAlekseevich (ok), 17:47, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А чем SeaMonkey не удовлетворяет?

    У нас был Firefox и только Firefox. Про SeaMonkey там никто не знает. (Да и не желают ничего другого.)

     

  • 1.39, Аноним (39), 12:26, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256.

    Вот и ответ. Всего-то.
    Но никто не проверял. Возможно, просто потому, что никто не устанавливал. :D (да и userbase не такой уж масштабный). А возможно, потому что на винде даже хеши посчитать чуть сложнее. Надо приблуды какие-нибудь ставить.

     
     
  • 2.41, Аноним (41), 12:30, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Надо приблуды какие-нибудь ставить.

    7zip. В контекстном меню появится "CRC SHA  >" подменю.

     
     
  • 3.42, AntonAlekseevich (ok), 12:32, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    7z не ставится в Windows по дефолту. :D
     
     
  • 4.105, Аноним (105), 05:40, 12/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если файл exe закатать в zip то explorer при открытии zip в свойствах файла exe покажет его суммы.
     
     
  • 5.108, AntonAlekseevich (ok), 17:50, 12/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А если файл exe закатать в zip то explorer при открытии zip в свойствах файла exe покажет его суммы.

    SHA суммы? Или только CRC/Adler?

     
  • 3.113, WinRar (?), 10:35, 13/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >7zip. В контекстном меню появится "CRC SHA  >" подменю.

    очень неудобная хрень
    даже скопировать хэш нельзя

     
  • 2.45, iPony129412 (?), 12:45, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А возможно, потому что на винде даже хеши посчитать чуть сложнее. Надо приблуды какие-нибудь ставить.

    Ничем не отличается от Linux/macOS

     
     
  • 3.53, пох. (?), 13:13, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "sha256sum" не является внутренней или внешней
    командой, исполняемой программой или пакетным файлом.

    точно не отличается?

    другое дело что смысл сравнивать хэши скачанные с того же ftp сервера что и архив как-то не очень просматривается - ну вот разьве что в надежде на лень горе-хакера. Небось и скрипт пересчета где-нибудь там же лежал.

     
     
  • 4.56, iPony129412 (?), 13:21, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > точно не отличается?

    Ну естественно синтаксис другой :D
    В Windows есть две команды для вычисления одна из cmd.exe, другая из PowerShell.

    А для гуёв так же надо что-то ставить, как и в линуксах. В той же дефолтной Ubuntu c Gnome какой-то там пакет типа nautilus-hash.

     
     
  • 5.62, пох. (?), 13:39, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В той же дефолтной Ubuntu c Gnome какой-то там пакет типа
    > nautilus-hash.

    у меня, понятно, нет десктопа на убунте, но помнится, там достаточно было мышом потыкать в такой файлик. в венде все это, мягко говоря, криво. Я вот про certutil даже и не вспомнил. А у типового юзверя нет 7zip.

    да и привык он все же надеяться на подписи, с которыми шерстяной то ли не справился, то ли не доплатил.

     
     
  • 6.68, iPony129412 (?), 14:20, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > но помнится, там достаточно было мышом потыкать в такой файлик.

    нет. Пока пакет выше не поставишь - такого не будет

     
     
  • 7.77, RANDOMIZE USR 15616 (?), 14:56, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуйтесь КДЕ, и все будет сразу и по умолчанию.
     
  • 2.65, Балмер (?), 14:06, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не надо ставить - цифровые подписи давно встроенны как в инсталятор, так и в непосредственно запускаемые файлы
    Но это только у нормальных программ так, осилили ли разработчики подделки Файрфокса - я не знаю
     
     
  • 3.75, пох. (?), 14:45, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Но это только у нормальных программ так, осилили ли разработчики подделки Файрфокса - я не знаю

    криво осилили.
    Во всяком случае, когда я последний раз проверял - все было так же - архив подписан, исполняемый файл подписан, а вот запускаемый из архива установщик (installshield ниасилен, он же ж денег стоит) - нихрена, при том что он-то и исполняется с повышенными правами.
    а разобраться что раньше сперва спрашивало по имени разработчика, и лишь потом вылезало безадресное окно, а теперь сразу непойми от кого запускается - это ты разьве что уже после предупреждения что оно зараженное сумеешь.

     

  • 1.44, Аноним (44), 12:42, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ОСь сменили, поставит сервер у себя дома и можно дальше пользоваться pale moon'ом. Надежней вариантов все равно нет.
     
  • 1.47, Аноним (47), 12:48, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обмена

    Тоесть всем строго пофиг?

     
     
  • 2.51, пох. (?), 13:11, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    на кражи биткойнов-то? Конечно.

    Интересно, повезло автору хоть один-то стырить?

     
     
  • 3.82, Аноним (-), 15:22, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Найди адрес да проверь
     

  • 1.71, Mikevmk (?), 14:28, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM

    офигеть. ну это всё, что нужно было знать, в общем-то

     
  • 1.81, жека воробьев (?), 15:16, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >выборочно инфицировали все exe-файлы

    Так выборочно или все?

     
     
  • 2.104, axredneck (?), 23:05, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Инфицировал только exe-файлы (но все), остальные не инфицировал, так что выборочно.
     

  • 1.89, Аноним (89), 17:51, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дададад! Выборочно все! Рандомно-поголовно!1
     
  • 1.90, Аноним (90), 17:52, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если предположить, что они сами этот троян и добавили, становится понятно, почему они так усердно борятся с посторонними сборками Pale Moon.
    https://github.com/jasperla/openbsd-wip/issues/86
     
  • 1.96, Аноним (96), 20:21, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Во время взлома сервер работал по управлением Windows

    Из уважаемых коллег никто не отметил, что выставленный в Интернет сервер Windows - это уже диагноз, свидетельствующий о своеобразной компетенции разработчика?

     
     
  • 2.100, ёнкр (?), 22:19, 11/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Стандартный баг малых проектов. Не обновляемый сервер под линем та же хренота и разносчик спама.
     

  • 1.98, Аноним (-), 21:16, 11/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Казалось бы, почему автор запрещает распространять сторонние сборки. А вот оказывается почему.
     
  • 1.111, Аноним (111), 05:06, 13/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж, PaleMoon то еще дно. Скачивал якобы "оптимизированную" сборку для процов Atom... В итоге все работало еще хуже, чем на огнелисе... PaleMoon НИНУЖИН
     
  • 1.112, хотел спросить (?), 08:51, 13/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В одной из статей, я написал, что это днище не дает даже по HTTPS скачать бинарь. Как вы калечи можете рекомендовать его как безопасный браузер?

    На что меня тупо заминусили. Я подумал "дятлы" и естественно обошел стороной проект, который не может решить даже инфраструктурные проблемы.

     
     
  • 2.116, пох. (?), 14:24, 15/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > На что меня тупо заминусили. Я подумал "дятлы"

    не тупо. Сам ты дятел.
    _http_://archive.debian.org/ передает тебе привет, и предлагает подумать, если есть чем, стоит ли тратить ресурсы сервера на ненужношифрование, когда оно действительно - ненужно.

    то что у шерстяного какие-то глубокие внутриголовные проблемы с подписями (и сама-то подпись куплена у какого-то даже не третьесортного CA) - это отдельная печальная история, как и то что модные антивирусы видят вирусы там, где их нет, и не видят там, где вполне себе есть (видимо, все усилия потрачены авторами на воровство секретных документов)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру