破产的信用社脱壳而出

向人们和公司通报数据泄露往往是一项令人沮丧和吃力不讨好的工作。尽管我尽了最大努力，但有时我提醒的违规受害者会离开，相信我不是一名调查记者，而是一名骗子。这是最近一次发生在本周，当时我告诉加州一家信用合作社，它的网上银行网站遭到了破坏，显然已经有近两个月了。

2月23日，我联系了位于加州尤里卡的一家金融机构Coast Central Credit Union，该机构为超过60000名客户提供服务。我解释了我是谁，他们可能是如何被黑客攻击的，他们如何验证黑客攻击，以及他们如何解决问题。两天后，当我发现网站仍然被黑客入侵时，我再次联系信用社，结果发现他们仍然不相信我。

妥协的消息是通过Alex Holden传给我的，Alex Holden是网络犯罪地下组织的一名潜伏者，Holden Security的创始人[全面披露：虽然Holden的网站把我列为他的公司的顾问，但我得到的报酬是零]。霍尔顿告诉我，骗子入侵了信用社的网站，并用一个“网页外壳”对其进行了改造，这个简单的后门程序允许攻击者只使用网页浏览器远程控制网站和服务器。

信用社总机把我转到了海岸中心技术部门的一个叫文森特的人那里。我告诉文森特，信用社的网站很可能被破坏了，他如何核实，等等。我还给了他我的联系方式，并敦促他把问题升级。毕竟，我说，入侵者可以使用Web shell程序上传恶意软件，直接从信用社的网站窃取客户密码。文森特似乎对这个消息并不十分惊慌，并向我保证有人会联系我以获取更多信息。

今天下午，我碰巧在信用社的网站上重新加载了Web shell的登录页面，发现它仍然可用。打电话给主号码显示文森特不在，但里面的帕特里克会接我的电话。不管好坏，帕特里克对我没有冒充这个网站的作者深表怀疑。

我称赞他很谨慎，并建议他用几种不同的方式独立核实我的身份。当被要求与信用社联系时，帕特里克说那个人就是他，但拒绝告诉我他的姓。他还拒绝在自己雇主的网站上输入网址，以验证网页外壳登录页面。

帕特里克怀疑地说：“我希望你能写这篇文章。”我告诉他，今天我可能会在网站上发布一些关于黑客行为的消息。“那会很有趣的。”

我很生气，告诉帕特里克好运，然后挂断了电话。谢天谢地，我后来确实收到了海岸中心信息系统副总裁埃德·基督教徒的来信。基督教徒为这一事件道歉，并说他所在部门的每个人都是克雷伯安全的常客。基督教徒说：“我本来希望永远不会接到你的电话，但我想我可以把这个从名单上划掉。”。“我们会马上把这东西拿下来的。”

自那以后，信用社已经关闭了网页外壳，并继续调查漏洞的程度和来源。有证据表明，该网站可能是通过过时版本的Akeeba Backup被黑客入侵的，Akeeba Backup是一个Joomla组件，允许用户创建和管理基于Joomla的网站的完整备份。海岸中央信用社（Coast Central Credit Union）的网络外壳所列文件的屏幕截图确实表明，该金融机构的网络服务器上存在Akeba备份。

2015年12月29日，入侵者在信用社网站上搜索了一个后门组件——一个名为“sfx.php”的文件——出现在这篇博客文章中，瑞士系统工程师克劳迪奥·马塞尔·库恩斯勒（Claudio Marcel Kuenzler）描述了他对一个通过Akeba备份功能被黑客入侵的网站的调查。

“该文件是通过使用com_joomlaupdate（Akeeba Backup的一部分）组件中的漏洞通过简单的GET请求上载的，”Kuenzler写道，并注意到该漏洞有可用的修补程序。

这些Web外壳组件非常常见，已经存在多年，被在线恶棍用于各种任务-从销售广告流量和传播恶意软件到推广恶意和垃圾邮件网站。

目前尚不清楚袭击信用社网站的黑客是否除了安装后门之外还做了其他任何事情，但库恩兹勒写道，在他的案例中，入侵者确实利用他们的访问权限转发垃圾邮件。当用户试图登录信用社的网站时，攻击者很容易诱捕到该网站，以阻止伪装成安全更新的恶意软件。

霍尔顿说，他发现了13000多个网站，这些网站目前都感染了网络病毒，就像袭击海岸中央信用社的网站一样

霍尔登说，他发现了13000多个网站，这些网站目前都受到了网络外壳的感染，就像袭击海岸中央信用社（Coast Central Credit Union）的网站一样，其中绝大多数是Joomla和WordPress博客，这些博客通过过时的、不安全的第三方插件为这些流行的内容管理系统提供服务。更糟糕的是，所有13000多个后门网站都在使用相同的用户名和密码进行远程控制。

“这是一个机器人，”他说，自我复制的恶意软件用于部署遍布信用社网站的网络外壳。“它会攻击易受攻击的站点并安装具有相同凭据的后门。”

霍尔顿说，他的公司一直在联系受影响的网站所有者，但没有太多的运气得到回应。无论如何，霍尔顿说，他不喜欢处理来自成千上万受害者的推诿和猜疑。

霍尔登说：“公平地说，最脆弱的网站属于没有联系的个人或小公司，其中很大一部分在我们之外。”。“我们试图找到一些业主，但答复很少。”

◆来源：Krebs on Security

◆本文版权归原作者所有，如有侵权请联系我们及时删除