Pale Moon 浏览器的作者
有问题的服务器目前处于离线状态以进行调查。分发当前版本的服务器
Pale Moon 不受影响,该问题仅影响从存档安装的旧 Windows 版本(随着新版本的发布,版本将移至存档)。在黑客攻击期间,服务器运行的是 Windows,并在从运营商 Frantech/BuyVM 租用的虚拟机中运行。目前尚不清楚该漏洞是被利用的类型,以及它是特定于 Windows 还是影响某些正在运行的第三方服务器应用程序。
获得访问权限后,攻击者有选择地用木马软件感染与 Pale Moon 相关的所有 exe 文件(安装程序和自解压档案)
26 年 2019 月 XNUMX 日,在攻击者的服务器活动期间(尚不清楚这些攻击者是否与第一次黑客攻击或其他攻击相同),archive.palemonon.org 的正常运行被中断 - 主机无法访问重启,数据就损坏了。这包括系统日志的丢失,其中可能包含表明攻击性质的更详细的跟踪。发生此故障时,管理员没有意识到受到损害,并使用基于 CentOS 的新环境并将 FTP 下载替换为 HTTP,将存档恢复到运行状态。由于该事件未被注意到,备份中已被感染的文件被转移到新服务器。
分析可能的妥协原因,假设攻击者通过猜测托管人员帐户的密码、获得对服务器的直接物理访问、攻击虚拟机管理程序以获取对其他虚拟机的控制权、侵入 Web 控制面板来获得访问权限、拦截远程桌面会话(使用 RDP 协议)或利用 Windows Server 中的漏洞。恶意操作是在服务器本地执行的,使用脚本对现有可执行文件进行更改,而不是从外部重新下载它们。
该项目的作者声称,只有他拥有该系统的管理员访问权限,访问权限仅限于一个IP地址,并且底层Windows操作系统已更新并免受外部攻击。同时,使用RDP和FTP协议进行远程访问,在虚拟机上启动潜在不安全的软件,可能导致黑客攻击。然而,Pale Moon 的作者倾向于认为,此次黑客攻击是由于对提供商的虚拟机基础设施保护不足而造成的(例如,有一次,通过使用标准虚拟化管理界面选择不安全的提供商密码)
来源: opennet.ru