pagefair安全漏洞已经被修复好了,下面是你们需要知道的事情。
主要事实
如果您是使用我们的免费分析服务的出版商,现在您有足够的理由对我们感到非常生气和失望。昨晚的83分钟,pagefair分析服务被黑客攻陷,黑客通过我们提供的服务,成功对我们的网站执行了恶意的JavaScript代码,这促使一些访问我们网站的游客下载了一个可执行文件。我公司对此感到非常抱歉,并且我们想向您保证,这种事情将不再发生。
这是一次非常复杂的且十分有针对性的袭击,黑客可以访问我们的任何系统,这对我们来说是无法接受的。我们立即作出响应,确定了该漏洞,但它仍然需要80分钟才能被完全关闭。在这段时间里,那些信任我们的拥有网页的并且访问我们页面的出版商成为了这些邪恶的黑客的攻击目标。
这次攻击由于我们的标准安全防护得以减轻损失,但是这些攻击者仍然得以成功入侵。我想要花一些时间来对此次事件发生了什么进行一下描述,以及这次被入侵时如何影响到我们的一些访问者的,并且我会说明,我们正在做什么来避免此类事件的再次发生。
随着我们明确更多的事实,我们将持续更新这篇文章。
我们想要让你们知道
昨晚11:52分(2015年10月31日)黑客成功的执行了一个扩散式的钓鱼攻击来获取关键的电子邮件账户。袭击者随后立即进行密码重置来劫持pagefair上的cdn帐户,我们使用cdn服务分析我们的javascript标签。他们改进了我们的cdn设置,而不是服务pagefair的javascript,这是恶意的javascript代码。这种故意的有害的JavaScript代码,促使访问者安装一个假的Adobe Flash更新,这似乎是一个僵尸木马的目标窗口(在这里它更多的信息现在是可用的)。虽然许多病毒扫描程序将阻止这个文件的执行,但其他人可能无法正确检测到它。
我们在5分钟内注意到这个安全漏洞,但直到01:15(83分钟)已经全面整顿情况。在此之后,访问者将不再受影响。
如果昨天你有自由执行的pagefair分析代码安装在您的网站,这可能是一些您网站的访问者会下载恶意可执行文件。我们将直接通知每一位在此期间部署我们代码的发行者。如果我们没有直接通知你,这意味着你没有受到此次攻击的影响。
什么会受到影响?
这个恶意javascript的程序针对的仅仅是windows用户,并且被许多反病毒程序检测到。此外,需要注意的是,不是所有的在此修复的83分钟期间访问发行商的网站的windows用户都会受到感染。因为根据缓存规则,只有那些在你的网站上不活跃的访问者才会在先前的120分钟内链接到cdn。与此同时,在攻击发生的33分钟后,我们重置了我们的dns设置完全绕过cdn。这个改变开始迅速起作用(TTL60分钟),并且保护了许多用户,使得用户在攻击期间免于连接cdn。最终,在凌晨1:25(格林尼治时间),我们删除了账户上的cdn“pull zones”,这立即结束了攻击。从那时起,用户将不再受到任何影响。
什么是没有受到影响的?
没有任何证据和理由去相信,任何核心pagefair服务或者是基础设施被成功入侵。没有任何发行商的账户信息,密码或者是个人信息被泄露。
接下来我们将做什么
1:从今天起,我们的首要任务是确保所有的系统是完全安全的,所有公司的密码将会重置。这些都已经完成。
2:明天,我们将会审计公司文件的访问级别设置,黑客可能已经获得权限。我们在任何系统中都不会存储任何个人身份信息,但是我们将会建议合作伙伴,如果我们有理由相信任何的敏感文件可能被访问。
3:我们将会分析那些失败的安全措施,这些措施将会得到加强,并且会采取措施防止此类事件将来会再次发生。
4:在接下来的星期我们将会继续剩下的工作,并且会定期更新这篇文章,以及我们的研究结果。
感谢我们的顾客在这件事情上对我们的耐心。媒体信托公司,在此次事件期间,努力的联系我们,以及MAXCDN会时时帮助我们锁住黑客,将他们从账户中剔除。明天我们将会有更多的更新。
请在下面的评论区提出你们对我们的任何疑问,可随时随地与我们联系,或者发送邮件到support@pagefair.com。我们会对每一封来件进行回复。随着这篇文章的更新,我们也会时时更新我们的Twitter账户。