MC知名整合包服务器插件平台 (CurseForge) 被投毒事件的解决方案
本文将从 PrismLauncher (下简称 PL)给出的文章中进行观点提炼和进行解释,希望给大家更细致的理解.
首先给出 PL 的原文 https://prismlauncher.org/news/cf-compromised-alert/
我中毒了吗?
这想必是大家 10 分甚至 9 分关心的事情. 根据 PL 的的公告和分析报告,我们应当关心下面几个要点.
目前杀毒软件还检测不出
手工检查
需要注意目前的路径只是根据受害者的反馈得出的,不排除病毒未来会更新的可能性.
Linux 用户:
~/.config/systemd/user中检查systemd-utility.service/etc/systemd/system/中检查systemd-utility.service~/.config/.data中检查lib.jar
Windows 用户:
%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar~\AppData\Local\Microsoft Edge\libWebGL64.jar
需要注意的是,这里是一个 带空格 的 Microsoft Edge 文件夹.
Windows 用户还需要检查自动启动,这是常见的保活方式.
在注册表中检查
HKCU:\Software\Microsoft\Windows\CurrentVersion\Run检查
%appdata%\Microsoft\Windows\「开始」菜单\程序\启动中的快捷方式. (译者注: 在 Windows 高版本中也有可能是其他类似目录)
如果遇到了文件被 Java 主程序占用而无法删除,可以禁用启动项.
作者推荐: https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
(译者注: 使用国内安全软件会更方便)
禁用所有与 libWebGL64.jar 相关的启动项,然后重启电脑,再次尝试删除.
更加粗暴的方法是卸载 Java 并重启,之后回头来删除这些
其他操作系统:
目前来看不受影响,但同样不排除未来会更新的可能性.
自动化检查
PL 还给出了自动检测脚本. 鉴于 B 站的屑编辑器是 114 分甚至 514 分的难用.这里留下 PL 给出的一键执行方案.
注意下载路径和执行的位置
Windows 用户要从 https://prismlauncher.org/img/news/cf-compromised/check_cf.ps1 下载脚本,然后 powershell -executionpolicy bypass -file "check_cf.ps1" 来执行
Linux 用户可以
curl -fsSL https://prismlauncher.org/img/news/cf-compromised/check_cf.sh | bash
然后怎么做?
目前来看这个病毒可以发动 DDoS 攻击,窃取凭据. 对于终端用户来说 DDoS 攻击影响不一定大,所以我们需要考虑凭据的安全性. 可以做的事情包括但不限于
改密码,改密码,改密码 有效且有用的方法要说三遍.
其他类型的凭据可以更换就更换
因为病毒也可能窃取虚拟货币相关信息,必要时生成新的私钥/助记词并转移资金
服务端用户应当假设全服务器的相关凭据皆泄漏,并采取更高措施来应对.
目前可以通过以下办法切断病毒的远程连接
在 hosts 中加入 0.0.0.0 files-8ie.pages.dev 进行屏蔽. 拦截到 85[.]217[.]144[.]130 的出站连接 (译者注: 此处使用符号来防止被屏蔽,输入时应当去掉).
杂谈
这里收集一些社区观点,供大家参考. 但安全无小事,不可大意.
在 Linux 上如果使用了 Flatpak 等沙盒技术,文件释放是可以被防御的.
虽然沙箱逃逸是可能的,但也有的病毒选择拒绝在沙箱下运行以躲避分析.
同时桌面端 Linux 一般也运行在非特权用户下,没有 root 是写不了系统目录的.
另外也有人指出放置在用户目录下的服务文件存在错误导致无法启动,但这不能作为躲过一劫的理由.
由于硬编码了下载路径 ~/.config/,在 Flatpak 下运行的病毒会如果没有允许 Flatpak 应用对主目录的访问权限,则他会写入 tmpfs 并在应用重启后删除.
FAQ?
Q: 没有受影响 Mod/插件列表?
A: 鉴于 B 站专栏的不可编辑性,这东西还是去 PL 博客看吧,而且截至发稿 CF 那边有没有把所有受害文件统计出来都是一回事.
Q: 最近还能玩 MC 吗?
A: 最好不要,因为病毒具有向其他 JAR 插入自身的传染性. 你也很难保证那数百个依赖文件里都没事. 如果非得玩,请清理缓存并重新下载所有客户端
