關於 MozTW.org 被入侵的處理進度

399 views
Skip to first unread message

Irvin Chen

unread,
Dec 7, 2013, 3:13:58 AM12/7/13
to moztw-...@googlegroups.com
Hi All,

先跟各位匯報目前的狀態:

我們發現 moztw.org 主機上的網頁的確有被入侵修改,連結到網址是 mozil1a 的假 Firefox 安裝檔(影響部分僅有 Windows 部分),今日中午已經修正。

根據初步的掃描結果,這個假檔內含一個後門( Backdoor.Pcclient ),並且可能是 11/26 日製作。
https://www.virustotal.com/en/file/03b086ccfd00ceb1fb87ef12d09a2063f728c362da086341aca35d833fc2fd53/analysis/

目前只能確認入侵是發生在 11/16 11:15 am (gmt+8) 之後到今日,有影響的版本是 Firefox 25.0.1。16 號至今的系統的紀錄都已經沒有相關的入侵跡證,因此確定被入侵並且修改的日期,目前需要等待 Mozilla 的系統相關部門幫我們透過下載狀況去統計。


現在我們還在收集相關的資訊,也已經聯繫 Mozilla IT 與 Security 相關部門,希望能確定影響範圍,Bob 將會擬定正式完整說明,近日於網站公告。

更新的進度會儘快在此說明。



















2013/12/7 Irvin Chen <irvi...@gmail.com>
https://support.mozilla.org/zh-TW/kb/firefox-crashes-troubleshoot-prevent-and-get-help#w_ecacogadeaaeuegcniieeukaee
正在分析這個假檔的各位,安裝好之後請試試這兩個免費防毒軟體能不能掃出這個後門,我們接下來需要發的公告中會需要提供用戶解決方案


2013/12/7 Irvin Chen <irvi...@gmail.com>
沒,你可以開 VM 安裝起來,找找看有什麼免費防毒可以掃出來
https://www.virustotal.com/en/file/03b086ccfd00ceb1fb87ef12d09a2063f728c362da086341aca35d833fc2fd53/analysis/
應該是內含一個後門


2013/12/7 Carl Su <bcb...@gmail.com>
請問一下有人已經執行過了嗎?

Peter Chen於 2013年12月7日星期六UTC+8下午12時42分27秒寫道:
應該是被摸掉了無誤。
目前 http://moztw.org/firefox/download/latest-win.html 已還原回原有的檔案,從 Mozilla 原廠下載正體中文版本。

下載後執行前,要檢查一下數位簽章....



OOO <oth...@gmail.com> 於 2013年12月7日下午12:23 寫道:
感謝,正在處理中

在 2013年12月7日下午12:12,Ting-Hsuan Lin <tim...@gmail.com> 寫道:
> http://i.imgur.com/6HVbUIu.jpg
>
> 如圖所示,現在檔案的網域是來自mozil1a.org這個巴拿馬的網域,,而且檔案大小也與ftp.mozilla.org符。
>
> --
> 您已訂閱「Google 網上論壇」的「moztw-general: 摩茲將軍」群組,因此我們特別傳送這封郵件通知您。
> 如要取消訂閱這個群組並停止接收來自這個群組的郵件,請傳送電子郵件到
> moztw-genera...@googlegroups.com
> 如要在此群組張貼留言,請傳送電子郵件至 moztw-...@googlegroups.com

> 如要在網路上查看這項討論,請造訪
> https://groups.google.com/d/msgid/moztw-general/53d32373-a995-4a7a-935c-4f4129926a9f%40googlegroups.com
> 如需更多選項,請前往:https://groups.google.com/groups/opt_out



--
OOO

--
您已訂閱「Google 網上論壇」的「moztw-general: 摩茲將軍」群組,因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件,請傳送電子郵件到 moztw-genera...@googlegroups.com
如要在此群組張貼留言,請傳送電子郵件至 moztw-...@googlegroups.com

--
您已訂閱「Google 網上論壇」的「moztw-general: 摩茲將軍」群組,因此我們特別傳送這封郵件通知您。
如要取消訂閱這個群組並停止接收來自這個群組的郵件,請傳送電子郵件到 moztw-genera...@googlegroups.com
如要在此群組張貼留言,請傳送電子郵件至 moztw-...@googlegroups.com
如要在網路上查看這項討論,請造訪 https://groups.google.com/d/msgid/moztw-general/c19d1f80-f968-4f18-98e2-acbfd99714e9%40googlegroups.com。
如需更多選項,請前往:https://groups.google.com/groups/opt_out。



--
@ irvinfly: community liaison
moztw.org Mozilla Taiwan community



--
@ irvinfly: community liaison
moztw.org Mozilla Taiwan community



--
@ irvinfly: community liaison
moztw.org Mozilla Taiwan community

Henry Lee

unread,
Dec 7, 2013, 10:45:22 AM12/7/13
to moztw-...@googlegroups.com
我幫你轉 PTT

Irvin Chen於 2013年12月7日星期六UTC+8下午4時13分58秒寫道:

Irvin Chen

unread,
Dec 7, 2013, 4:35:24 PM12/7/13
to moztw-...@googlegroups.com
Hi All,

更新目前處理狀況。感謝各方社群朋友合力,今天我們做了這些事情:

* 開 Bug 回報給 Mozilla 的安全相關人員: https://bugzilla.mozilla.org/show_bug.cgi?id=947564
* 分析假造的 Firefox 安裝檔,確定其行為與移除方式,並整理被感染者的解決方法,於本公告中說明: http://forum.moztw.org/viewtopic.php?f=7&t=40687
* 對 MozTW 網頁主機進行多重的完整檢查,移除疑似入侵弱點。
(技術方面的分析資訊於此: https://etherpad.mozilla.org/malware-framework
* 出於防範未然,設定討論區所有成員都需要變更密碼。
* 新增主機上的自動檢測與警示機制,避免未來還有網頁檔案被任意竄改。


造成大家的不變我們非常抱歉,如果還有更新進度會繼續在此說明。


最後也希望能招募願意協助加強網站資安的志工夥伴,
有興趣的朋友請寄信至 contr...@moztw.org,說明您能幫忙的部分。


Irvin




2013/12/7 Irvin Chen <irvi...@gmail.com>

Irvin Chen

unread,
Dec 10, 2013, 3:55:59 AM12/10/13
to moztw-...@googlegroups.com
再次更新一下進度:今天取得 Mozilla 的下載資料了,可能下載到問題檔案的時間範圍縮小至 12/3~12/7 中午。

Irvin Chen

unread,
Jan 20, 2014, 2:39:13 AM1/20/14
to moztw-...@googlegroups.com
Hi All,

如果大家沒有意見的話,我打算今晚把網站首頁被駭的公告拿掉了喔,
前陣子柏強提出來討論了幾次,到目前也快一個半月嘍。




2013/12/10 Irvin Chen <irvi...@gmail.com>

Irvin Chen

unread,
Jan 21, 2014, 2:14:02 PM1/21/14
to moztw-...@googlegroups.com
Hi All, Banner 移除了~


2014/1/20 Irvin Chen <irvi...@gmail.com>
Reply all
Reply to author
Forward
0 new messages